W numerze między innymi: - Integrator
Transkrypt
W numerze między innymi: - Integrator
Integrujemy przyszłość® ISSN 1233–4944 Biuletyn Informacyjny SOLIDEX® Nr IV/2014 (130) już 25 lat czytaj str. 4 W numerze między innymi: WYDARZENIA: Raport z jesiennej akcji „Porządek w Sieci 2014” NOWOŚCI: Cisco Mobility Services Engine TECHNOLOGIE: Bądź gotowy - Check Point Compliance ROZWIĄZANIA: Monitorowanie aplikacji w sieci WLAN za pomocą Cisco AVC www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner Platinum Partner Collaborative Certified Support Provider Platinum Partner J-Partner Elite Gold Partner Elite Partner Numer: IV/2014 (130) Szanowni Państwo! Przedstawiamy Państwu ostatni w tym roku numer naszego firmowego biuletynu informacyjnego INTEGRATOR. W każdym wydaniu biuletynu prezentujemy artykuły, poprzez które staramy się na bieżąco informować Państwa o nowościach i zmianach w branży. INTEGRATOR jako niezależny kwartalnik od 1994 roku redagowany jest przez Zespół SOLIDEX, trafia do grupy kilku tysięcy profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem www.integrator.SOLIDEX.com.pl. Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA Integrujemy przyszłość ®… już 25 lat Raport z jesiennej akcji „Porządek w Sieci 2014” SOLIDEX – pierwszy partner Cisco w Polsce – otrzymuje „złoto” już po raz 17! SOLIDEX dostarcza sprzęt dla Uniwersytetu Jagiellońskiego 4 6 8 8 NOWOŚCI 9 15 Cisco Mobility Services Engine Cisco ISE – „ISE + MDM – ciekawa kooperacja” TECHNOLOGIE 21 25 29 Bądź zgodny – Check Point Compliance F5 WebSafe & MobileSafe Przegląd rozwiązań firmy Smart ROZWIĄZANIA 32 36 40 44 Monitorowanie aplikacji w sieci WLAN za pomocą Cisco AVC Rozwiązania Fiber to the Office (FTTO) firmy Microsens Praktyczna implementacja tunelu Site-to-Site na routerach Cisco F5 Networks Application Acceleration Manager (AAM) Biuletyn Informacyjny SOLIDEX® WYDARZENIA Integrujemy przyszłość ®… już 25 lat Aż trudno uwierzyć, że 12 kwietnia 2015 roku minie już 25 lat, kiedy SOLIDEX rozpoczął swoją działalność. Od tego czasu nieprzerwanie mamy możliwość, a niejednokrotnie wyzwanie świadczyć naszym Klientom najwyższy poziom usług na rynku IT. Blisko ćwierć wieku temu przy ulicy Kazimierza Wielkiego w Krakowie zarejestrowano pierwsze biuro SOLIDEXu. Stanęło tam biurko i maszyna do pisania, zaś kontakt ze światem zewnętrznym odbywał się przy pomocy wolnostojącej budki telefonicznej. Od początku działalności najważniejszą dewizą działania naszej firmy jest „SOLIDność w każdym działaniu”. W tamtych czasach solidności tej mocno brakowało, a i dziś hasło to jest niezmiernie aktualne. Pierwszymi Klientami SOLIDEXu byli wymagając y akademic y z krakowskich uczelni, a partnerami biznesowymi w większości zachodnioniemieckie firmy. Wiosną 1991 roku SOLIDEX rozpoczął współpracę z najlepszymi wówczas firmami z rodowodem ze Stanford University: Sun Microsystems i Cisco Systems. W związku z rosnącymi potrzebami firma przeniosła się do swej nowej obszernej siedziby na Piastowską 44. Już po dwóch latach swej działalności SOLIDEX zdobywał nowe doświadczenia w budowie połączeń LAN, WAN i MAN zrealizowanych w Krakowie i Warszawie, a potem w Gdańsku, Toruniu czy Wrocławiu. Na bazie dostarczanych przez SOLIDEX rozwiązań zaczął działać akademicki Internet pod szyldem Naukowa i Akademicka Sieć Komputerowa. W przeciągu roku, z dużym wkładem SOLIDEXu, ponad 30 największych polskich uczelni zostało połączonych w ogólnokrajową 4 sieć, a kolejne ośrodki w 10 najwięk- podpisał kontrak t na realizację szych miastach przystąpiły do budowy projektu dużej sieci lokalnej z nową wówczas technologią switchingu. Był swych struktur MAN. to pierwszy w historii firmy kontrakt W roku 1993 SOLIDE X podpisał na sumę ponad 1 milion dolarów. dwie pierwsze istotne umowy na SOLIDEX wzbogacił się również wtedy rynku pozaakademickim na budowę o nowych Klientów, jakimi były miejskich struktur opartych o FDDI agendy rządowe i nowopowstający i światłowód łączących główne operatorzy komórkowi. placówki Pekao S.A. w Warszawie, a równolegle w Krakowie placówki W 1996 roku doświadczenie i rozwój Banku Przemysłowo-Handlowego kompetencji nabywanych przez SOLIDEX S.A. Był to również czas, gdy rozpoczął zaowocował przyznaniem pierwszej działalność pierwszy odział SOLIDEXu firmie w Polsce certyfikatu „SILVER CERTIFIED PARTNER” przez Cisco w Warszawie. Systems. Otwarty został trzeci już W kolejnym roku działalności otwarty oddział spółki tym razem w Poznaniu. został drugi oddział firmy, w Gdańsku. Rok później SOLIDEX zmienił swoja Aby móc dzielić się swą wiedzą siedzibę centrali w Krakowie - od tego i nowymi rozwiązaniami z zakresu IT, czasu siedziba mieści się przy ulicy Lea 124. rozpoczęliśmy również wydawanie branżowego biuletynu Integrator, W roku 1998, kiedy kadra naszych który już od 20 lat po dziś dzień trafia in ż ynier ów zdoby ł a ju ż wiele w formie tradycyjnej i elektronicznej wymaganych certyfikatów, SOLIDEX awansował do grona złotych partnerów do znaczącej liczby specjalistów IT. W połowie lat 90-tych SOLIDEX Cisco i jako pierwszy w Polsce uzyskał Integrujemy przyszłość® Numer: IV/2014 (130) „GOLD CERTIFIED CISCO PARTNER”. Wiosną 2008 roku powstało nowo Jednocześnie SOLIDE X otrzymał otwarte Centrum Kompetencyjnoautoryzację „CISCO CERTIFIED -Szkoleniowe SOLIDEX w warszawLEARNING PARTNER”, pozwalającą skich Złotych Tarasach, gdzie po 13 prowadzić liczne autoryzowane przez latach z biurowca LIM-Marriot został producenta szkolenia. przeniesiony warszawski oddział firmy. wyróżnieniami, jak kolejny tytuł Cisco Channel Customer Satisfaction (CCCS) Excellence, statusy partnerskie na poziomie Platinium firm Websense i CheckPoint, czy tytuł Resseler of the Year 2013 firmy CheckPoint za największą sprzedaż. Przez wszystkie lata SOLIDEX dbał, by jego Klienci, Partnerzy i Sympatycy mogli poszerzać swą wiedzę poprzez bezpośredni kontakt z SOLIDnymi E Xper tami, czego bezpośrednim wyrazem są seminaria i konferencje, które organizowaliśmy lub których byliśmy współorganizatorami. Na przełomie X X i X XI wieku dużym zainteresowaniem cieszył się cykl siedmiu edycji konferencji pod hasłem „Sztuka Bezpiecznej Integracji”. Rok 2000 to nie tylko koniec XX wieku, ale i jubileusz 10-lecia SOLIDEXu, którego potencjał wzrastał w szybkim tempie. Potwierdzeniem tego stanu rzeczy stał się fakt, iż nasza firma znalazła się w pierwszej piątce w rankingach polskiego rynku IT, a sprzedaż przekroczyła 120 milionów złotych. W 2002 roku SOLIDEX uzyskał certyfikat jakości zgodnie z normą ISO 9001:2001. Do znaczących wyróżnień zaliczyć należy też otrzymany tytuł „Dobra Firma Małopolska 2002 ” przyznany przez redakcję Rzeczpospolitej dla najszybciej rozwijających się przedsiębiorstw, oraz tytuł „Gazeli Biznesu 2002” od Pulsu Biznesu. Rok później ważnym wydarzeniem było zakończenie rozbudowy siedziby firmy - w lutym nastąpiło oficjalne otwarcie nowoczesnego Tęczowego Biurowca w Krakowie z udziałem oficjeli i naszych sympatyków. Z końcem 2 0 0 4 roku SOL IDE X ur uchomił nowoc zesny interaktywny serwis internetowy dla swoich Klientów, działający do dziś pod nazwą www.SOLIDnySerwis.pl. K onie c pier ws z ej dek ady X X I wieku owocował w potwierdzenia niezmiennych kompetencji SOLIDEXu jakimi były między innymi: uzyskanie dyplomu dla najlepszego polskiego partnera „Check Point & Clico Achievement Award 2008”, statuetka „Solidnego Partnera” od DNS oraz wyróżnienie w rankingu Diamenty Forbesa 2009, a tak że ponowne uzyskanie tytułu Cisco Customer Satisfaction Excellence. W roku 2011 SOLIDEX spełniając wszystkie wymagania postawione przez firmę F5 Networks, jako pierwszy w Polsce uzyskał najwyższy poziom partnerstwa - UNITY GOLD PARTNER. Ostatnie lata działalności firmy to udział w wielu zaawansowanych projektach m.in. wyposażeniu nowego budynku krakowskiej AGH w technologię firmy Cisco i świadczenie usług zarządzania w obszarze ICT w kilku obiektach stadionowych w ramach Euro 2012 . To również czas utrzymania i podnoszenia swych kompetencji potwierdzonych lic znymi Biuletyn Informacyjny SOLIDEX® Od 2013 roku, mamy przyjemność s p o t yk a ć s i ę z P a ń s t w e m n a wiosennych i jesiennych odsłonach akcji „Porządek w Sieci”, na których nasi inżynierowie na wykładach i ciekawych pokazach „na żywo” dzielą się doświadczeniem i pokazują nowe rozwiązania w świecie IT. Doświadczenie zdobyte przez 25 lat działalności w postaci tysięcy kontraktów, wdrożeń, uzyskanych certyfikatów i wyróżnień, dają SOLIDEXowi ciągle stabilne miejsce w czołówce polskich integratorów sieciowych. To dzięki naszym Klientom i dla nich niezmiennie stawiamy na kształcenie naszej kadry i najlepszą jakość świadczonych usług. Z tego miejsca dziękujemy Państwu za wszystkie lata współpracy i zaufania. Natomiast Klientom, którzy dopiero zaczynają korzystać z naszych usług życzymy satysfakcji z podjętych decyzji co do wyboru SOLIDnego EXperta w dziedzinie IT. Zespół SOLIDEX 5 WYDARZENIA Raport z jesiennej akcji „Porządek w Sieci 2014” Blisko ćwierć wieku doświadczeń SOLIDEXu w integracji sieciowej w Polsce to niewyczerpalne źródło solidnej wiedzy, którą chcemy się dzielić z naszymi Klientami odpowiedzialnymi za infrastrukturę sieciową. Dlatego też tegorocznej jesieni – już po raz czwarty – odbyła się kolejna seria spotkań w ramach akcji „Porządek w Sieci 2014”. Miło nam, że seminaria nieprzerwanie cieszą się dużym Państwa zainteresowaniem i stają się obowiązkowym punktem w kalendarzu każdego sympatyka i eksperta w dziedzinie infrastruktury IT. Wielu z naszych gości, doceniając profesjonalizm prezentowanych sesji, powraca do nas z każdą kolejną edycją. Niezmiernie miło nam jest gościć również nowych uczestników, chcących poszerzyć swoją wiedzę z zakresu szerokorozumianej infrastruktury sieciowej. Tradycyjnie z naszymi prezentacjami odwiedziliśmy miasta, gdzie mieszczą się siedziby oddziałów naszej firmy (Gdańsk, Poznań, Wrocław, Warszawa), ostatnie seminarium zwyczajowo odbyło się w centrali w Tęczowym Biurowcu SOLIDEX w Krakowie. Seminaria poprowadzone były w nieco 6 zmienionej formie: nasi SOLIDni Experci zaprezentowali trzy zamiast dotychczasowych czterech sesji. Na każdą z nich przeznaczono więcej czasu, by nasi inżynierowie w większych szc zegó łach mogli opowiedzieć o możliwościach każdego z prezentowanych rozwiązań oraz precyzyjnie udzielić odpowiedzi na każde nurtujące pytania naszych Klientów. Całość naszych prezentacji odbyła się pod hasłem „Sztuka Powietrznej Integracji”, a poruszane tematy, uzupełnione o praktyczne pokazy, tym razem skupiały się na integracji sieci bezprzewodowych z systemami bezpieczeństwa. Nasze laboratorium demonstracyjne – będące nieodzownym punktem każdej sesji – było gotowym przepisem na niezawodną i bezpieczną sieć bezprzewodową. Integrujemy przyszłość® W ramach prelekcji zaprezentowano następujące tematy: Ochrona użytkowników i infrastruktury prywatnej sieci WiFi. W iele organiz ac ji chc e u ż ywać sieci prywatnych Wi-Fi nie tylko jako podst awowego środka do łączności z Internetem, ale również jako platfor my do dost arc zania usług mobilnych. Dzięki systemowi W ir ele s s Int r usion P r event ion System (wIP S) będziemy chronić się przed szkodliwymi urządzeniami bezprzewodowymi, dest abilizującymi pracę infrastruktury, oraz atakami skierowanymi bezpośrednio na sieć WiFi. Przedstawiona została możliwość agregacji kluczowych informacji o stanie sieci Wi-Fi oraz urządzeniach w niej pracujących. Skuteczne zarządzanie infrastrukturą Numer: IV/2014 (130) zabezpieczeń sieci bezprzewodowych Wraz z rosnącą liczbą urządzeń bezprzewodowych, podsieci oraz realizowanych usług mobilnych rośnie również liczba reguł i polityk w każdym systemie zabezpieczeń. Na przykładzie typowego systemu zabezpieczeń zaprezentowano, jak skutecznie chronić użytkowników bezprzewodowych przed współczesnymi „cyber” zagrożeniami. Bezpieczne i niezawodne udostępnianie aplikacji dla użytkowników mobilnych Nowym wyzwaniem stawianymi przed organizacjami jest bezpieczne i niezawodne dostarczanie aplikacji dla użytkowników mobilnych. Pomóc w tym zakresie może integracja wirtualnych systemów z rozwiązaniami firmy F5 Networks. Rozwiązaniem gwarantującym wysoką dostępność i niezawodnoś ć usł ug jest w tym przypadku wykorzystanie technik optymalizacji ruchu sieciowego. Mamy nadz ieję , ż e udz ia ł w nasz ych wyk ł adac h poz woli ł uc ze s t nikom na zdobyc ie dodat kowych umieję t no ś c i, a zarazem był motywatorem do dalszego zgłębiania omawianych tematów. Aby p omó c P a ń s t wu w u z ysk aniu do dat k o w y c h i nf o r m a c j i n a i n t e r e s u j ą c e tematy, zachęcamy do kontaktu z naszymi inżynierami. Miło nam pochwalić się wzrostem frekwencji, jaki odnotowaliśmy na tegorocznej jesiennej akcji „Porządek w Sieci 2014”. Mamy nadzieje, że jest to dowodem na trafność doboru interesującej tematyki oraz tego, jak wysoko cenią sobie Państwo spotkanie z naszymi inżynierami. Cieszą nas dyskusje i pytania zadawane podczas prelekcji, które nie dość że ożywiają nasze spotkania, to dodatkowo pozwalają na wyjaśnienie intrygujących Państwa zagadnień. Serdecznie dziękujemy wszystkim uczestnikom za opinie i uwagi, które motywują nasz zespół do większego wysiłku w celu sprostania rosnącym wymaganiom naszych Klientów. Już dziś mamy przyjemność zaprosić Państwa na kolejną, piątą edycję akcji „Porządek w Sieci” – tym razem na wiosnę 2015. Dokładamy wszelkich starań, aby spotkała się ona z równie dużym zainteresowaniem z Państwa strony. Zespół SOLIDEX Biuletyn Informacyjny SOLIDEX® 7 WYDARZENIA SOLIDEX – pierwszy partner Cisco w Polsce – otrzymuje „złoto” już po raz 17! Niezmiernie miło nam poinformować, że po wnikliwej analizie poprzedzonej badaniem kompetencji i zasobów firma Cisco pogratulowała SOLIDEXowi recertyfikacji Cisco GOLD Certified Partner na kolejny rok. To zaangażowanie i cię żka praca naszej kadry powodują, że Cisco docenia współpracę i widzi niepodważalną jakość partnera. Potwierdzeniem tego stanu rzeczy są słowa: „Przyznanie SOLIDEX statusu Cisco GOLD Certified Partner jest wynikiem wybitnej jakości współpracy przez ostatni rok. SOLIDEX po raz kolejny sprostał wszystkim wymaganiom c er tyf ik ac ji GOL D prezentując zarówno wyspecjalizowaną kadrę inżynierską i handlową, świetny poziom serwisu, jak również różnorodny i wysoki stopień specjalizacji. Wasza firma jak co roku udowadnia, że posiada zdolność do oferowania, sprzedaży i serwisowania produktów Cisco w Polsce”. SOLIDEX jest uprawniony do prowadzenia projektów, składania ofert, doradztwa, wdrożeń i świadczenia usług serwisowych w zakresie instalacji sieciowych opartych na sprzęcie i oprogramowaniu Cisco Systems na podstawie umowy podpisanej po raz pierwszy w 1991 roku. Posiadany przez SOLIDEX i utrzymywany nieprzerwanie od siedemnastu lat status par tnerski Gold uprawnia nas w szczególności do sprzedaży, projektowania i uruchamiania systemów opartych na technologiach Cisco oraz sprzedaży, instalacji oraz świadczenia serwisu dla oprogra- mowania zarządzającego Cisco. SOLIDEX już od 1998 roku posiada również certyfikat CISCO Learning Partner będący gwarancją najwyższego światowego poziomu prowadzenia autoryzowanych szkoleń CISCO Systems. SOLIDEX dostarcza sprzęt dla Uniwersytetu Jagiellońskiego SOLIDEX S.A. po raz kolejny potwierdził swoją silną pozycję na krakowskim rynku publicznym pozyskując z początkiem listopada 2014 roku zamówienie na dostawę urządzeń komputerowych i oprogramowania dla Uniwersytetu 8 Jagiellońskiego. W ramach kontraktu dostarczone zostały urządzenia, akcesoria i elementy komputerowe oraz oprogramowanie składające się na zwirtualizowaną platformę serwerową. Stanowi ona środowisko dla uruchomienia usług Integrujemy przyszłość® IT UJ, zawierającą między innymi: redundantne przełączniki rdzeniowe i agregujące, serwery typu blade, serwer plików oraz oprogramowanie zabezpieczające i systemy służące do zarządzania. Numer: IV/2014 (130) Cisco Mobility Services Engine Temat Wi-Fi jest obecnie jednym z najczęściej podejmowanych wśród administratorów oraz użytkowników sieci Internet. Sieci budowane w oparciu o standard IEEE 802.11 stają się nieodzownym elementem naszego życia. Rozwój prędkości, parametryzacja powstających standardów oraz wszechobecny bezprzewodowy dostęp do Internetu mogą świadczyć tylko i wyłącznie o tym, że istnieje duże zapotrzebowanie ze strony konsumentów-czyli niejako nas wszystkich – na taki rodzaj rozwiązań. Geneza powstania, czyli skąd pomysł Za pomocą standardu IEEE 802.11 możemy budować sieci lokalne L AN, rozległe sieci internetowe WAN, a także wykorzystywać go do tworzenia powszechnie dziś znanych punktów dostępowych. Coraz częściej podkreśla się także, że platforma Wi-Fi może być także wykorzystywana nie tylko jako podstawowa metoda podłączenia do sieci, ale również jako narzędzie do dostarczania wielorakich usług mobilnych oraz szeroko rozumianych procesów biznesowych. Zapewnienie dostępu do Internetu przez administratorów za pomocą sieci Sieci LAN Sieci WAN WiFi Punkty dostępu Biznes?! Bezpieczeństwo Rys. 1. Wi-Fi jako platforma do dostarczania innowacyjnych usług mobilnych Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI Wi-Fi jest nie lada wyzwaniem, jednak spełnienie tego wymagania niesie za sobą inne problemy, które w głównej mierze związane są z bezpieczeństwem oraz niezawodnością działania. Fir ma C isc o widz ąc pr z yszło ś ć w rozwiązaniach skierowanych dla urządzeń mobilnych wprowadziło na rynek produkt Mobility Services Engine, który pozwoli organizacjom lub dostawcom wykorzystującym Wi-Fi zwiększyć swoja widoczność w sieci, a także zwiększyć bezpieczeństwo swoich sieci bezprzewodowych. pozwalająca także monitorować obecność danego użytkownika bądź ramki RFID w danej wirtualnej strefie na mapie. Jest także rozszerzeniem funkcjonalności zaawansowanej technologii Cisco CleanAir pozwalającej wykrywać, analizować oraz przeciwdziałać zakłóceniom, które wpływają na jakość działania sieci bezprzewodowej. Base Location Services posiada także zestaw narzędzi programistycznych oraz otwarte API, pozwalające na tworzenie własnych rozwiązań, skierowanych głównie dla użytkowników urządzeń mobilnych np. wewnętrzCo potrafi Mobility Services nego systemu nawigacji. Rozwiązanie Base Location Services Engine? stosowane jest wszędzie tam, gdzie Na rozwią zanie platformy MSE wymaga się ciągłej kontroli oraz monitorowania użytkowników bądź składają się takie usługi jak: • Base Location Services (BSL) – to obiektów. Są to: szpitale, fabryki, podstawowa funkcjonalność systemu kampusy uczelniane, hale sklepowe MSE. Dzięki niej administrator może i magazynowe, czyli pomieszczenia zaglądnąć w głąb istniejącej sieci posiadające wrażliwy mobilny sprzęt, Wi-Fi oraz wydobyć z niej kluczowe który musi być monitorowany, a inforinformacje dotyczące konkretnych macja o jego położeniu lub też zaginięciu użytkowników, takie jak: lokalizacja, powinna być dostępna on-line. czas logowania czy sposób przemiesz- • Connected Mobile Experiences czania wraz z pełną historią zmiany (CMX) – to kolejna platforma w jaką lokalizacji. Base Location to usługa zostało wyposażone MSE. Dzięki niej możemy dostarczyć spersonalizowane usługi mobilne końcowym użytkownikom, a sami jako administratorzy sieci możemy dokonywać analiz dotyczących liczby zalogowanych Rys. 2. Wewnętrzny system nawigacji dostarczony na urządzenie mobilne za pomocą Base Location Services 10 użytkowników, ich lojalności, czasów logowań oraz wzorców przemieszczania się. C M X za pomoc ą uproszc zonego Captive portalu oraz dzięki powiązaniu z portalem społecznościowym Facebook pozwala użytkownikom zautentykować się do sieci w uproszczony sposób. Jest narzędziem umożliwiającym bezpośrednią interakcję z uż ytkownikami mobilnymi za pomocą powiadomień typu „push”. CMX wykorzystywany jest jako narzędzie biznesowe wszędzie tam, gdzie potrzebna jest personalna komunikac ja z u ż yt kownik iem mobilnym, a tak że gdy zachodzi konie c z no ś ć dokonania analiz zachowań gości zasocjowanych do naszej sieci bezprzewodowej. • Wireless Intrusion Prevention System (wIPS) – to system bezpieczeństwa dedykowany specjalnie dla sieci bezprzewodowych. wIPS monitoruje i potrafi chronić sieć oraz użytkowników przed wszelkiego rodzaju atakami penetracyjnymi, nieuczciwymi urządzeniami bezprzewodowymi oraz atakami typu Denial-of-Service (DoS). Poprzez lokalizację na mapie fałszywych punktów dostępowych, hakerów oraz ofiar (w trybie on -line z mo ż liwo ś c ią wglądu w historię), informowanie administratorów o „słabych punktach” sieci, Rys. 3. Mapa 3D zawierająca informacje o miejscu logowania danego użytkownika do sieci oraz jego ścieżce przejścia Integrujemy przyszłość® Numer: IV/2014 (130) Przede wszystkim zdarzenia nie są korelatywne: jedno zdarzenie widziane jest przez wszystkie access pointy jako różne, co powoduje ogromne zagęszczenie informacji jakie przekazywane są administratorowi systemu. Nie można tak że zidentyfikować oraz sklasyfikować ataków DoS oraz wszelkich prób włamań jakie miały miejsce wobec naszej sieci. Nie jest dostępna również historia zdarzeń, która w wielu wypadkach stanowi istotny argument. Rys. 4. Dashboard narzędzia CMX Analytics zawierający dane statystyczne, uprzednio zdefiniowane przez administratora czyli takich które nie spełniają wcześniej zdefiniowanych polityk, a także definiowanie nowych polityk mających na celu podjęcie akcji w stosunku do wykrytego zagrożenia, jesteśmy w stanie w widoczny sposób zwiększyć poziom bezpieczeństwa naszej sieci. wIPS jest narzędziem, które zapewnia pełny ogląd naszej sieci. S y s t e m wIP S t o wbu d ow a n a funkcjonalność access pointów serii 700, 1700, 2700 oraz 3700, a działanie tego systemu można zdefiniować już na poziomie kontrolera (rysunek 4). Zatem wydawać by się mogło, że MSE nie jest konieczne do uruchomienia tej usługi. Jednak rozwiązanie oparte tylko i wyłącznie na access pointach oraz kontrolerze, pomijające MSE nie oddaje pełnej architektury systemu. Cisco CleanAir® – technologia powiązana z MSE Przedstawiając rozwiązanie MSE należy wspomnieć o innej technologii, która jest ściśle powiązana z Mobility Services Engine i jest rozszerzeniem funkcjonalności Base Location Services. CleanAir jest to narzędzie zaimplementowane do access pointów serii 1700, 2700, 3700. Jego podstawowym zadaniem jest wykrywanie, lokalizowanie oraz zapobieganie lub łagodzenie skutków interferencji fal radiowych, które niekorzystnie Rys. 5. Aktywacja funkcji wIPS odbywa się na kontrolerze, gdzie w zakładce General należy wybrać tryb pracy w jakim będzie pracował access point Biuletyn Informacyjny SOLIDEX® 11 NOWOŚCI Rys. 6. Technologia CleanAir potrafi w bardzo dokładny sposób określić źródło interferencji oraz zakres ingerencji wpływają na jakość działania naszej sieci Wi-Fi. Do takich fal zalicza się między innymi te pochodzące z mikrofalówek, urządzeń bluetooth, telefonów komórkowych, wszelkiego rodzaju zagłuszaczy fal radiowych, detektorów ruchu oraz kamer bezprzewodowych. CleanAir powstał przede wszystkim z myślą o użytkownikach mobilnych wykorzystujących sieć Wi-Fi do połączeń audio-video, gdzie ważnym czynnikiem jest jakość połączenia. Interferencja fal radiowych potrafi w znaczący sposób utrudnić takie połączenia poprzez zatracanie pakietów. na rysunku 7: • nhanced Local Mode (ELM) – jest to tryb, w którym access point przez dłuższy okres czasu spełnia swoją podstawową funkcjonalność, czyli dostarcza dane do stacji klienckich, a przez krótki okres prowadzi skanowanie sieci. • Monitor Mode (MM) – model wdrożenia, w którym oprócz access pointów odpowiedzialnych za serowanie danych istnieją dodatkowe AP, których zadaniem jest tylko i wyłącznie monitoring sieci. • Access point z serii 3700 oraz moduł WSM (Wireless Security Module) – to rozwiązanie wykorzystujące fizyczną nakładkę na access pointa, która zapewnia ciągłe skanowanie sieci, w czasie gdy AP dostarcza dane zasocjowanym stacjom klienckim. Od strony ekonomicznej najbardziej opłacalnym modelem wdrożenia jest ELM. Jednak w tym trybie pracy pełna detekcja wIPS zapewniona jest tylko na tym kanale, który wykorzystywany jest do dostarczania danych („on-channel”). Pozostałe kanały skanowane są w krótkim okresie czasu („off-channel”), a zak res tego skanowania jest niepełny. Oznacza to, że kiedy radio będzie w trybie „off-channel” i w tym momencie zostanie przeprowadzony atak na jeden z pozostałych kanałów na których radio nie pracuje, to zostanie on wykryty. Gdyby taki sam atak odbył się w czasie kiedy radio działa w trybie „on-channel”, to atak taki nie zostanie zauważony (rysunek 8). W pr z ypadku modelu Monit or Mode rozwiązanie wymaga, aby do sieci dołączone były dodatkowe access pointy, które ustawione będą w tryb monitorujący. Ich zadaniem jest ciągła analiza sieci pod względem bezpieczeństwa. W tym wypadku każdy z kanałów jest skanowany z większą częstotliwością co wiąże się z tym, że każdy potencjalny atak wIPS, Model wdrożenia systemu wIPS Cisco przygotowało kilka możliwości działania systemu wIPS. Podczas wyboru modelu wdrożenia należy kierować się kilkoma czynnikami. Przede wszystkim należy określić jak ważna jest dla nas sieć bezprzewodowa, którą mamy chronić oraz jaki jest sposób autentykacji i autoryzacji. Należy również określić w jakich warunkach i w jakim zagęszczeniu dana sieć będzie pracować. Nie bez znaczenia będzie również czynnik ekonomiczny. P roponowane s ą róż ne modele wdrożenia, które zostały zestawione 12 Rys. 7. Modele wdrożenia Access Pointów zależny jest od wielu czynników które należy rozważyć przed wdrożeniem systemu Integrujemy przyszłość® Numer: IV/2014 (130) ilości access pointów. Wyróżnione jest narzędziem administracyjnym zostały także dane dotyczące techno- służącym do zarządzania i monitorologii CleanAir. wania sieci zarówno przewodowej, jak i bezprzewodowej opartej na urządzeSchemat wdrożenia niach Cisco. Dzięki niemu w łatwy sposób można wykonać upgrade MSE jest platformą która tworzy systemów, stworzyć kopie zapasowe, wartość dodaną dla systemu sieci przywrócić konfiguracje oraz monitobezprzewodowej. Myśląc o zaimple- rować stan systemu (Więcej o oprogramentowaniu takiego rozwiązania, mowaniu PI 1.2 można przeczytać trzeba brać pod uwagę również obliga- w Integratorze nr IV/2012 (121)). Rys . 8 . C zas dost arc zania danych w stosunku do czasu skanowania dla różnych modeli wdrożenia Enhanced Local Mode Monitor Mode AP Gęstość wdrożenia (#WSM/#AP) 1:1 1:5 Możliwość pracy w dwóch trybach (przesył danych do klientów oraz tryb monitoringu) Tak Nie Funkcjonalność AP 3700 z modułem Wireless Security (WSM) 1:5 – CleanAir 2:5 – wIPS Tak Tryb skanowania wIPS •7x24 On-channel •Off-channel •7x24 wszystkie •7x24 wszystkie kanały (2,5 i 5 GHz) kanały (2,5 i 5 GHz) Technologia CleanAir •7x24 On-channel •7x24 wszystkie •7x24 wszystkie kanały (2,5 i 5 GHz) kanały (2,5 i 5 GHz) Tabela 1. Modele wdrożenia systemu wIPS oraz technologii CleanAir niezależnie od tego na jakim kanale zostanie przeprowadzony, zostanie wykryty. Ostatnim proponowanym rozwiązaniem jest wykorzystanie access pointów z serii 3700 oraz dołączenie do nich dodatkowych modułów skanując ych, dzię k i k t ór ym monitoring systemu wIPS odbywać się będzie w sposób ciągły, a w tym samym czasie do klientów będą dostarczane dane. W każdym z przypadków należy również wziąć pod uwagę, że zasięg spektrum dla trybu wIPS jest większy niż zasięg działania AP w trybie dostarczania danych. Dlatego proponuje się różną intensywność wdrożenia. W tabeli 1 zebrane zostały informacje dotyczące proponowanych rozwiązań, które uwzględniają również zakładane Rys. 9. Schemat wdrożenia platformy Mobility Services Engine toryjność systemu Prime Infrastructure, którego GUI wykorzystywane jest do działania i zarządzania systemem MSE. Cisco Prime Infrastructure Biuletyn Informacyjny SOLIDEX® Dostępność/skalowalność Rozwią zanie Mobility Ser vices Engine jest oferowane w dwóch 13 NOWOŚCI Platforma Dane techniczne Skalowalność Procesor ( 2 ) Q u a d - C o r e In t e l Licencja Base Nehalem Processor 2.0 Location GHz, 4-MB cache 2’500 APs – 25 000 Aps Pamięć 16-GB DDR3 (2 x 8 GB) 2’500 Aps – 12 500 Aps Dysk 4x146 GB z transferem do Wireless IPS 6Gbps MSE 3355 Appliance Licencja CMX 6 ’0 0 0 A Ps (Monitor-Mode lub Enhanced Local Mode APs) Maksymalna 25’000 ilość urządzeń Procesor 4 vCPUs at 2.0 GHz lub Licencja Base szybszy Location 200 Aps/ max 5’000 Pamięć 8 GB Licencja CMX Nie w spier a na / ma x 25’000 Dysk 250 GB oraz 900 IOPS Wireless IPS 2’000 Aps/ max 10’000 (Monit or-Mode lub Enhanced Local Mode APs) Maszyna wirtualna Minimalne wymagania serwera Maksymalna 25’000 / max 50’000 ilość urządzeń Tabela 2. Dane techniczne oraz skalowalność rozwiązania MSE trybach: appliance lub maszyna wir tualna. W przypadku pier wszego wyboru jest to model 3355 na którym możemy uruchomić usługę Base L ocation Services przeznaczoną dla 25 000 access pointów. Usługa CMX jest możliwa do uruchomienia przy maksimum 12 500 APs, system wIPS obsługuje do 6000 urządzeń (w dwóch modelach wdrożenia). Maksymalna ilość urządzeń końcowych to 25 000. Mobility Services Engine można też uruchomić jako maszynę wirtualną na serwerze z 4 procesorami, 8GB pamięci oraz 250GB dysku. Są to wartości minimalne, które pozwolą uruchomić usługę Base Location dla 2 0 0 A P s , wIP S dla 2 0 0 0 access pointów (w dwóch trybach), a maksymalna ilość obsługiwanych urz ądzeń wynosi 2 5 00 0. C M X w tym wypadku jest nie wspierany. 14 Zwiększając wydajnoś ć serwera moż na ur uchomić us ł ugę Base Location dla maksymalnie 5000 APs, CMX dla 25 000, a wIPS dla 10 000 access pointów. Maksymalna ilość obsługiwanych urządzeń to 50 000. Dane techniczne oraz skalowalność rozwiązań zebrane zostały w tabeli 2. Podsumowanie Wydawać by się mogło, że o standardzie IEEE 802.11 zostało już wszystko napisane, a wdrożenie technologii Wi-Fi jest jedną z najprostszych rzeczy do wykonania przez administratora systemu. Jednak jak zauważa Cisco oraz osoby bezpośrednio zajmujące się systemami bezprzewodowymi, rozwiązania te nabierają nowego znaczenia i będą rozwijać się dwutorowo. Z jednej strony będzie to rozwój prędkości bezprzewodowego łącza, Integrujemy przyszłość® a z drugiej rozwój usług biznesowych jakie mogą być świadczone za pośrednictwem standardu Wi-Fi. Nie bez znaczenia pozostanie również kwestia bezpieczeństwa, związana z dostępem bezprzewodowym. Mobility Services Engine jest odpowiedzią na powstające wyzwania oraz problemy administratorów sieci bezprzewodowych, a także osób odpowiedzialnych za rozwój biznesu. M.K. Numer: IV/2014 (130) Cisco ISE – „ISE + MDM – ciekawa kooperacja” Na fali zjawiska BYOD (Bring You Own Device) pojawiła się nowa przestrzeń „mobilności”, która niesie za sobą potencjalne ryzyko powstania luk bezpieczeństwa w organizacji. Zjawisko mobilności nabrało nowego wymiaru w sferze swobody w działaniu. Dziś każdy może pracować na kilku urządzeniach, nawet jednocześnie, wykorzystując do tego swoją infrastrukturę IT. Zabezpieczenia środowiska IT od wewnątrz jest realizowane rozwiązaniem typu NAC (Network Access Control), niezależnie czy dotyczy to płaszczyzny przewodowej LAN czy też bezprzewodowej. W tej dziedzinie Cisco Systems oferuje rozwiązanie Cisco Identity Service Engine (ISE), które na przestrzeni ostatnich lat zanotowało ogromne postępy funkcjonalne. Cisco ISE jest systemem zabezpieczającym działania użytkowników „wewnątrz” LAN na poziomie sieciowym (L2 i L3 w modelu ISO/OSI), niezależne od tego, czy odbywają się one w części przewodowej czy też bezprzewodowej. Cisco Identity Service Engine 1.2 Wraz z wersją 1.2.0 Cisco Identity Service Engine pojawiło się wsparcie dla sys t e mów Mobile D e vic e Management (MDM). Od tej wersji Cisco ISE posiada możliwość kooperacji z rozwiązaniami tej klasy poprzez odpowiednią ich wspólną integrację. Obecnie na rynku IT rozwiązań klasy MDM jest sporo, a Cisco postawiło na kilku z nich, takich jak: • Airwatch, Inc. • Good Technology • MobileIron, Inc. • Zenprise, Inc. (Citrix XenMobile) • SAP Afaria • FiberLink Maas360 • Cisco Mobile Collaboration Management Services (MCMS). System Cisco ISE w swoim założeniu ma stanowić jednolity system bezpieczeństwa, który musi działać w jak najszerszym spectrum świata IT. Architektura Cisco ISE jest na tyle elastyczna, że w razie potrzeby jest w stanie Biuletyn Informacyjny SOLIDEX® współpracować z zewnętrznymi systemami w celu kompletnego objęcia funkcjonalnościami bezpieczeństwa jak najwięcej elementów sieci. Tymi obszarami nie są już tylko sieci przewodowe ale i kompletne środowiska sieci bezprzewodowych, w których coraz większy udział mają urządzenia mobilne (takie jak telefony, smartfony, tablety, itp.). Na podwalinach tego trendu po raz pierwszy pojawiło się zjawisko Bring Your Own Device (BYOD). BYOD to sytuacja, w których pracownik do codziennej pracy wykorzystuje własne urządzenia mobilne. Analizując obecne trendy IT zjawisko BYOD staje się coraz częstsze, tworząc kolejny obszar do ścisłego monitorowania i zabezpieczania przez służby związane z zapewnienie bezpieczeństwa informatycznego firmy. Jednym z narzędzi 15 NOWOŚCI Paczka Licencyjna ISE Zawartość/Przeznaczenie Czas trwania/ Subskrypcja Uwagi BASE Bezpieczny dostęp PLUS Budowanie polityk dostępu Subskrypcje 1,3,5 letnie do zasobów sieciowych na podstawie kontekstów na urządzeniach końcowych •Profiling •BYOD •TrustSec •Endpoint Protection Service (EPS) ADVANCED Budowanie polityk dostępu Subskrypcje 1,3,5 letnie do zasobów sieciowych na podstawie kontekstów oraz parametrów typu compliance na urządzeniach końcowych •• Profiling •BYOD •TrustSec •Posture •EPS •MDM WIRELESS Kompletne usługi ISE tylko dla środowiska bezprzewodowego WIRELESS UPGRADE Dedykowane w chwili Subskrypcje 1,3,5 letnie kiedy uruchamiane są usługi VPN na użytkownikach przewodowych wykorzystywane w sieciach bezprzewodowych EVALUATION Wykorzystywana do celów testowych Bezterminowa •BASIC RADIUS (AAA, 802.1x, MAC Auth. Bypass) •Web Authentication (Local, Central, Device Registration) •MacSec •Guest Portal and Sponsor Portal Subskrypcje 1,3,5 letnie •BASIC RADIUS (AAA, 802.1x, MAC Auth. Bypass) •Web Authentication (Local, Central, Device Registration) •MacSec •Guest Portal and Sponsor Portal •Profiling •BYOD •TrustSec •Posture •EPS •MDM 90 dni Wszystkie funkcjonalności dla środowiska do 100 użytkowników Tabela 1. Licencje ISE ułatwiających tę pracę jest właśnie system MDM. Warto zaznaczyć, iż wraz z wersją ISE 1.2.1 pojawiła się nowa licencja – Plus. Tabela 1 prezentuje obecnie dostępne licencjonowanie produktu wraz z ich krótkim opisem. Czym jest MDM? Najczę ściej MDM stanowi tylko część rozwiązania zabezpieczającego urządzenia mobilne. 16 Moduł ten dedykowany jest do zabezpiec zenia szc zególnie urządzeń mobilnych. Zazwyczaj jest on uzupełnieniem innych modułów odpowiadających za bezpiec zny kontent (MCM) oraz za bezpieczne udostępnienia aplikacji pomiędzy urządzeniami mobilnymi (MAM). Funkcjonalności wszystkich modułów są natomiast sterowane przez centralną konsolę zarz ądzając ą . Odpowiednia dystrybucja polityk bezpieczeństwa zapewniana jest Integrujemy przyszłość® poprzez aplikacje (agenty) instalowane na urządzeniach mobilnych. Z alet ą systemu MDM jest jego wszechstronnoś ć pod względem dostępności na urządzeniach mobilnych. Praktycznie każdy mobilny system operacyjny może być obsługiwany z ar z ąd z any z poz iomu MDMu. Najbardziej rozpowszechnione systemy operacyjne – takie jak np.: Apple iOS czy Android – są praktycznie w pełni kompatybilne. Niek t ór z y produc enc i MDM Numer: IV/2014 (130) Rys. 1. Ogólny schemat systemu MDM dostosowali je także do innych, takich jak: Blackberry OS, Win8 oraz Apple Moutain Lion software (OSX 10.8). MDM firmy AirWatch MDM w rozwiązaniu firmy AirWatch jest komponentem odpowiadającym konkretnie za elementy bezpie c zeństwa ur z ądzeń końcowych (urządzeń mobilnych). Wchodzi on w skład całego systemu AirWatch Enterprise Mobility Management Platform, dzięki któremu możliwe jest administrowanie, monitoring oraz raportowanie. Oprócz MDM warto wyodrębnić również moduły: • MCM – odpowiada za bezpieczne świadczenie kontentu na urządzeniach mobilnych, • MAM – odpowiada za bezpieczne udostępnianie aplikacji w korporacji poprzez urządzenia mobilne, • MEM – odpowiada za bezpieczeństwo kanału komunikacyjnego – poczty elektronicznej, która bardzo często stosowana jest w urządzeniach mobilnych. Najważniejszymi cechami modułu MDM są: • pojedyncza konsola zarządzająca, • polityki bezpieczeństwa, które stanowią strukturę profili (polityki dostępu do zasobów korporacyjnych), Rys. 2. Przykładowy zestaw funkcjonalności MDMu • polityki bezpieczeństwa budowane w oparciu o przypisanie urządzeń do użytkownika lub grupy (odpowiedni poziom bezpieczeństwa i dostępu), • działanie w czasie rzeczywistym, • mechanizmy kwarantanny, • sterowanie urządzeniami mobilnymi za pomoc ą odpowiednich komend i wiadomości, • zaawansowane logowanie i raportowanie. Integracja Cisco ISE i MDM Proces integracji Cisco ISE z systemem MDM składa się z trzech etapów: przygotowania środowiska (przy minimalnych wymaganiach systemowo/sprzętowych), dodania serwera MDM do bazy ISE oraz Biuletyn Informacyjny SOLIDEX® konfiguracji polityk bezpieczeństwa (ISE). Etap 1 – Przygotowanie środowiska Zgodnie z pierwszym krokiem bardzo ważne jest przygotowanie środowiska do integracji obydwóch systemów. Pierwszy obszar dotyc zy c zę ści bezprzewodowej, na który składają się następujące elementy: • Kontroler sieci bezprzewodowej (5508, 2504, WLSM-2), • Punkty dostępu (AP) – CAPWAP. W przypadku kontrolerów istotnym jest fakt doboru odpowiedniego systemu operacyjnego AirOS, – minimum w wersji 7. 2 . Cisco rekomenduje wykorzystanie wersji 7.6.100, która wprowadza do WLC mechanizm Pre-Auth DNS-based ACL. Mechanizm 17 NOWOŚCI ten wykorzystywany jest w przypadku BYOD w korporacji w sytuacji, kiedy administrator IT stosuje specjalną listę ACL (na etapie Pre-Auth) umożliwiającą dostęp do zasobów jeszcze przed uwierzytelnieniem. Często przypadek taki ma miejsce kiedy użytkownik potrzebuje dostępu do Internetu lub do specjalnej usługi umożliwiającej ściągnięcie suplikanta 802.1x. Listy kontroli typu DNS-based nie wykorzystują parametrów stosowanych w zwyczajnych listach ACL IPv4 (w sytuacji standardowego przekierowania poprzez WLC URL redirection). Drugi obszar dotyczy czę ści ISE, Rys. 3. Ogólny schemat działania ISE + MDM Rys. 4. Zrzut ekranu WebGUI WLC – Sekcja ACL (edycja ACL-MDM-QUARANTINE-IOS) Rys . 5 . Z rzut ekranu WebGUI W LC – Sekcja ACL (przypisanie UR L dla ACL -MDM- QU A R A N T INE-IOS oraz ACL-MDM-QUARANTINE-ANDROID) 18 Integrujemy przyszłość® Numer: IV/2014 (130) na który składają się następujące elementy: • Cisco ISE wersja 1.2 (z patchem 5 lub późniejszym); • Baza danych użytkowników (lub urząd certyfikacyjny CA – Windows 2008 R2 Enterprise SP2). Oprócz odpowiednej wersji ISE bardzo ważne jest, aby w docelowym środowisku poprawnie skonfigurowane były mechanizmy/usługi: • Dostęp Proxy-based Internet (np.: na potrzeby ciągłych aktualizacji sygnatur); • Usługa Web Multi-Interface; • Przekierowania IP based-URL, • Zapytania FQDN(certyfikaty CA). Ostatni obszar dotyczy części MDM, na który składają się następujące elementy: • System MDM (wersja systemu uzale ż niona od zastosowanego producenta). Rys. 6. Przykładowe systemy MDM wraz z rekomendowanymi wersjami. Etap 2 – Dodanie serwera MDM do bazy ISE Na tym etapie istotne są: • Sprawdzenie komunikacji pomiędzy ISE a MDM; • Ustawienie odpowiedniego schematu certyfikatów CA; • Dodanie serwera MDM do ISE; • Aktualizacja dziennika słowników. Sprawdzenie komunikacji polega na weryfikacji poprawności wymiany danych pomiędzy dwoma interfejsami API. W przypadku Cisco ISE jest to interfejs REST API a po stronie MDM interfejs MDM API wbudowany w serwer zarządzający. Komunikacja pomiędzy interfejsami odbywa się za pomocą języka XML. Dodanie ser wera MDM do ISE poprzedzone jest zaimportowaniem certyfikatu zaufania CA przez funkcję Import (Administration – > System – > Certificates – > Certificate Store – > Import). Rys. 8. Widok WebGUI ISE (Import certyfikatu zaufania CA) Rys. 7. Struktura komunikatu XML Rys. 9. Widok WebGUI ISE (ustawienie Network Resources – dodanie serwera MDM) Biuletyn Informacyjny SOLIDEX® 19 NOWOŚCI Rys. 10. Widok WebGUI ISE (przegląd słownika pojęć) Rys. 11. Widok WebGUI ISE (kreowanie polityk uwierzytelnienia) Dodanie ser wera MDM do ISE poprzedzone jest zdefiniowaniem t akich parametrów jak : Nazwa, Host name , Por t , User Name , Password, Polling Interal. Zwieńczeniem tego etapu jest weryfikacja słownika pojęć, na bazie których w etapie trzecim budowane będą polityki bezpieczeństwa. Proces ten wykonuje się z poziomu ISE WebGUI (zakładka Policy – > Policy Elements – > Dicionaries – > System – > MDM). Etap 3 – Konfiguracja polityk bezpieczeństwa (ISE) Os t at ni et ap dotyc z y konf ig u racji polityk oraz profili uwierzytelnienia oraz autoryzacji. Proces ten realizowany jest z poziomu ISE w odpowiednich zakładkach: • P o l i c y – > A u t h e n t i c a t i o n (kreowanie polityk uwierzytelnienia) – rysunek 11; • Policy – > Policy Elements – > Results; Authorization – > Authorization Profiles (kreowanie profili autoryzacyjnych) – rysunek 12; • Policy – > Authorization (MDM Attributes) – rysunek 13. Podsumowanie Rys. 12. Widok WebGUI ISE (kreowanie profili autoryzacyjnych) Cisco ISE po raz kolejny ukazuje się jako kompletna platforma bezpieczeństwa działająca na poziomie sieciowym. Technologia BYOD nie stanowią tak dużego zagrożenia dla korporacji jak mogłoby się na początku wydawać. Dzięki wykorzystaniu zaimplementowanych funkcjonalności bezpieczeństwa w urządzeniach sieciowych takich jak przełączniki, routery czy kontrolery sieci bezprzewodowej, koszt tego systemu ma uzasadnienie biznesowo-techniczne. J.S. Rys. 13. Widok WebGUI ISE (kreowanie polityk autoryzacyjnych MDM) 20 Integrujemy przyszłość® Numer: IV/2014 (130) Bądź zgodny – Check Point Compliance Konfiguracja systemów bezpieczeństwa w organizacji ma charakter dynamiczny. Nieustanne zmiany zbioru reguł są efektem rosnących wymagań ze strony biznesu oraz użytkowników. W efekcie częstych modyfikacji konfiguracji systemów zabezpieczeń bardzo trudna staje się bieżąca weryfikacja poprawności oraz zgodności wykorzystywanej konfiguracji z przyjętymi w organizacji zasadami oraz standardami. Nakład pracy wynikający z dynamiki zmian niejednokrotnie uniemożliwia wykonanie pełnej weryfikacji wpływu zmian na środowisko przed ich implementacją. Firma Check Point, wychodząc naprzeciw potrzebom rynku, udostępnia swoim Klientom moduł wspomagający proces konfiguracji o nazwie Compliance. Moduł Compliance stanowi rozszerzenie doskonale znanej na rynku architektury Check Point Software Blade o funkcje umożliwiające ciągłe monitorowanie ust awień dotyczących serwerów zarządzania, bram sieciowych oraz konfiguracji działających na nich modułów bezpiec z e ń s t wa . Mo du ł C omplia nc e uruchamiany jest na serwerze zarządzania (Smart Management Server lub Multi-Domain Management) dzięki czemu posiada wgląd we wszystkie aspekty konfiguracji środowiska Check Point. Co więcej, centralne umiejscowienie modułu pozwala na weryfikację konfiguracji modułów bezpieczeństwa wynikiem długoletnich doświadczeń na etapie wprowadzania zmian, bez pr oduc ent a . L ist a z alec e ń jest potrzeby implementowania jej na nieustannie rozwijana przez produbramach sieciowych. Zadania związane cent a i udost ępniana K lientom z zarządzaniem oraz monitorowaniem w formie automatycznych aktualizacji. pracy modułu Compliance realizowane Co więcej, od wersji oprogramowania są analogicznie jak dla pozostałych R77.20 istnieje możliwość własnomodułów Check Point, z poziomu ręcznego tworzenia reguł przez admininarzędzia SmartDashboard (rysunek 1). stratorów w przypadku specyficznych Sercem modułu Compliance jest wymagań stawianych w obrębie orgabogaty zbiór zaleceń określający nizacji. Check Point definiuje oraz rekomendowany sposób konfiguracji udostępnia zalecenia dotyczące konfiproduktów firmy Check Point, tzw. guracji dla następujących modułów security best practices (rysunek 2). Zbiór bezpieczeństwa – Firewall, IPSec VPN, zaleceń jest efektem pracy ekspertów Mobile Access, IPS, Anti-Bot, Antiz zakresu bezpieczeństwa, a także -Virus, Anti-Spam & Email Security, Biuletyn Informacyjny SOLIDEX® 21 TECHNOLOGIE Rys. 1. SmartDashboard – ekran konfiguracji modułu Compliance Rys. 2. Check Point security best practices Identity Awareness, Application Control, URL Filtering and DLP. Celem tworzonych rekomendacji jest zapewnienie Klientom pomocy w zakresie optymalnej, zarówno pod 22 względem wydajności jak i poziomu bezpieczeństwa, konfiguracji wykorzystywanych przez nich produktów. Dla każdego z zaleceń wchodzących w skład listy security best practices¸ Integrujemy przyszłość® producent definiuje zestaw rekomendacji oraz akcji. Zestawy rekomendacji i akcji wspomagają proces konfiguracji oraz pozwalają administratorom zrozumieć poszczególne Numer: IV/2014 (130) kroki, które powinni zrealizować aby osiągnąć wysoki poziom zgodności oraz bezpieczeństwa środowiska przez nich zarządzanego. Drugim z kluczowych elementów modułu Compliance jest możliwość automatycznego weryfikowania zgodności konfiguracji środowiska z ogólnodostępnymi standardami oraz regulacjami (Regulatory Compliance). W najnowszej wersji oprogramowania – Check Point R77.20 – administratorzy mogą stworzyć konfigurację swojego środowiska z wymaganiami stawianymi w ramach 18 standardów oraz regulacji, m. in. ISO2 7001, ISO27002, HIPAA Security, PCI DSS 2.0 oraz SOX (rysunek 3). Poza predefiniowanymi standardami Klienci mają możliwość rozszerzenia możliwości modułu poprzez dostępny mechanizm impor tu zewnętrznych regulacji. W celu ułatwienia pracy administratorom oraz osobom odpowiedzialnym za kreowanie polityki bezpieczeństwa poszczególne wymagania wchodzące w skład standardów oraz regulacji zdefiniowane zostały przez firmę Check Point w postaci szeregu prostych zadań bazujących na zbiorze security best prac tices. Wykonanie tych zadań implikuje spełnienie warunku opisanego w ramach standardu, a jednocześnie pozwala zachować większą przejrzystość oraz większe zrozumienie konfiguracji. Moduł Compliance na bazie ciągłego monitorowania ustawień środowiska Check Point oraz konfiguracji polityk bezpieczeństwa wyznacza procentowe wskaźniki zgodności z wytycznymi zawartymi w grupie security best practices (rysunek 4) oraz w wybranych standardach i regulacjach (rysunek 5). Administrator poza ogólnym wskaźnikiem zgodności dla całego środowiska – Sec ur ity Best P rac tice Compliance – otrzymuje także informacje o poziomie zgodności w podziale na poszczególne bramy sieciowe oraz moduły bezpieczeństwa (rysunek 6). Prezentowane wartości wyliczane są Rys. 3. Definicja wymagań na potrzeby zgodności ze standardem PCI DSS 2.0 Rys. 4. Poziom zgodności środowiska z Check Point security best practices Rys. 5. Poziom zgodności środowiska z wybranymi standardami Rys. 6. Poziom zgodności środowiska z Check Point security best practices w podziale na bramy sieciowe i moduły bezpieczeństwa Biuletyn Informacyjny SOLIDEX® 23 TECHNOLOGIE na podstawie wartości numerycznych przypisanych do poszczególnych reguł zdefiniowanych w ramach Check Point security best practices. W większości przypadków, wartość dla poszczególnych reguł jest liczona jako średnia ze wszystkich weryfikowanych obiektów np. bram sieciowych wykorzystujących określony moduł bezpieczeństwa. W zależności od wyliczonej wartości reguła klasyfikowana jest w jednej z czterech kategorii zgodności: Low, Medium, High oraz Secure. Szczegóły dotyczące przedziałów wartości dla poszczególnych kategorii zaprezentowane zostały w tabeli 1. lub Multi-Domain Management . Licencje modułu Compliance stanowią r oz s zer zenie kont ener ów t ypu Management i występują postaci zestawów umożliwiających weryfikację konfiguracji odpowiednio na 5, 25, 50, 150 oraz niegraniczonej liczbie bram sieciowych. W zależności od Rys. 7. Alert wygenerowany przez moduł liczby monitorowanych obiektów Compliance licencje modułu Compliance można wszystkich wskaźników poziomu sumować. Na przykład gdy potrzezgodności. W przypadku kiedy zmiana bujemy licencji na 10 bram sieciowych powoduje redukcję poziomu bezpie- to istnieje możliwość zakupu dwóch czeństwa np. obniża poziom wskaźnika licencji po 5 urządzeń bez konieczności Security Best Practice Compliance wykonywania skoku do najbliższego system generuje alert (Security Alerts) progu czyli licencji na 25 urządzeń. (rysunek 7) informujący administratora Dodatkowo, liczba licencji na moduł o niekorzystnym wpływie planowanej Compliance nie musi odpowiadać co Kategoria Wartość zmiany. Alerty zawierają szczegółowe do liczby urządzeń licencji na serwerze Low 0-50 informacje dotyczące negatywnego zarządzania, która określa maksyMedium 51-75 wpływu zmian, zakresu ich działania malna liczbę bram sieciowych, które High 76-99 wraz z informacją o autorze oraz dacie mogą być zarządzane z danego serwera. Secure 100 wprowadzenia zmiany. Wdrożenie moduł u Compliance Moduł Compliance wyposażony jest w organizacji nie generuje dużego Tabela 1. Kategorie poziomu zgodności reguł we wbudowany system rapor to- narzutu wydajnościowego, a co za tym idzie nie wymaga rozbudowy zasobów sprzętowych. Dzięki wbudowanej automatyzacji w znaczący sposób odciąża czasowo administratorów oraz osoby odpowiedzialne za kreowanie Moduł Compliance stanowi rozszerzenie doskonale znanej polityki zabezpieczeń. Zaoszczędzony na rynku architektury Check Point Software Blade o funkcje w ten czas może być poświęcony na umożliwiające ciągłe monitorowanie ustawień dotyczących realizację innych ważnych zadań. serwerów zarządzania, bram sieciowych oraz konfiguracji działających na nich modułów bezpieczeństwa. Opracowano na podstawie oficjalnych materiałów producenta. M.I. W przypadku reguł o charakterze binarnym – tzn. zgodny lub nie – zbiór możliwych kategorii ograniczony jest do wartości Low oraz Secure, które odpowiadają odpowiednio wartościom 0 oraz 100. Każdorazowa edycja ustawień środowiska dotyczących zdefiniowanych obiektów oraz reguł bezpieczeństwa powoduje wykonanie ponownej analizy konfiguracji przez moduł Compliance. W efekcie każdej analizy następuje aktualizacja war tości 24 wania. System pozwala na generowanie raportów dotyczących ogólnego poziomu zgodności środowiska, a także raportów dotyczących zgodności z poszczególnymi standardami oraz regulacjami. Rapor ty mogą być zapisywane w formacie pdf, html a także dystrybuowane za pomocą poczty elektronicznej. Moduł Compliance licencjonowany jest w zależności od liczby bram sieciowych zarządzanych z poziomu serwera Smart Management Server Integrujemy przyszłość® Numer: IV/2014 (130) F5 WebSafe & MobileSafe Wobec rosnącego zakresu oszustw przeprowadzanych online wymogiem dzisiejszego rynku stało się bezpieczeństwo przedsiębiorstw oraz klientów. Oprogramowanie WebSafe pomaga instytucjom usług finansowych chronić się przeciwko wyrafinowanym zagrożeniom nadużyć finansowych. Jest to możliwe dzięki wykorzystaniu zaawansowanego szyfrowania, wykrywaniu malware’u bez konieczności instalowania oprogramowania po stronie klienta oraz możliwości przeprowadzenia analizy behawioralnej sesji, a wszystko to przy użyciu jednego rozwiązania. Przedsiębiorstwa używając WebSafe w sposób znaczący obniżyły straty powstałe przez nadużycia finansowe, zachowując przy tym najważniejszy atut w biznesie – zaufanie klientów. Usługi online pozwalają przedsiębiorstwom zaistnieć globalnie i w łatwy sposób dotrzeć do użytkowników, gdziekolwiek by się oni nie znajdowali. Klienci liczą, że zostanie im zapewniona integralność danych na platformie e-commerce, a na stronach internetowych ochrona przed szkodliwymi działaniami i innymi oszustwami. Rozwiązanie WebSafe™ w połączeniu z MobileSafe™ chroni w pe ł ni bankowość, e-sprzedawców oraz inne organizacje – wraz z ich klientami – przed szerokim zakresem fałszerstw internetowych na wszystkich typach urządzeń dostępowych, nie wpływając przy tym na użytkownika. WebSafe pomaga przedsiębiorstwom rozpoznawać i chronić się przed złośliwym oprogramowaniem bazującym na stronach web, a także oszustwom internetowym skierowanym na aplikacje. MobileSafe oferuje ochronę przeciwko zaawansowanym zagrożeniom internetowym skierowanym na użytkowników mobilnych. Razem oprogramowania te dają przedsiębiorstwom zdolność dostarczenia lepszej ochrony przeciw oszustwom internetowym, a także możliwość Biuletyn Informacyjny SOLIDEX® podejmowania bardziej świadomych decyzji w zakresie bezpieczeństwa. WebSafe WebSafe pomaga administratorom s t r on webowyc h r oz poz nawa ć i chronić się przed skierowanymi na nich złośliwymi oprogramowaniami, atakami MITB, MITM, zagrożeniami typu zero-day, atakami phishingowymi, a także innym nieuczciwym działaniami internetowymi. WebSafe stosuje różnorodne techniki identyfikacji by rozpoznawać oszustwa 25 TECHNOLOGIE internetowe, usiłowanie automatycznych przelewów oraz inne wzorce szkodliwych oprogramowań. WebSafe jest prosty do wdrożenia, a zarazem całkowicie transparentny dla użytkownika. Jednocześnie nie wymaga żadnych zmian w aplikacjach ani instalacji dodatkowego oprogramowania po stronie klienta. Używając WebSafe przedsiębiorstwo zyskuje zaawansowaną ochronę w czasie rzeczywistym przeciwko kradzieży tożsamości, własności intelektualnych, wrażliwych danych, a także pieniędzy. MobileSafe MobileSafe jest produktem, który integruje się natywnie z aplikacjami mobilnymi w celu ochrony przez atakami skierowanymi na użytkowników urządzeń mobilnych. Jest to szczególnie istotne w bankowości internetowej oraz platformach e-sprzedażowych. Ta unikalna usługa wykrywa złośliwe oprogramowania, a także urządzenia na których był przeprowadzony jailbreak i chroni je przeciwko wszelkiego rodzaju keyloggerom oraz fałszywymi aplikacjami. Jednocześnie zapewnia, że przechwycone przez złośliwe oprogramowanie informacje staną się bezużyteczne dla atakującego. Rys. 1. WebSafe - ochrona użytkownika końcowego Ochrona przed internetowymi oszustwami WebSafe i MobileSafe dostarcza t r anspar ent ne r oz wią z anie do zabezpieczenia biznesu przeciwko osz ustwom int er net owym . Ich wspólnymi cechami jest ochrona danych użytkownika, zmniejszenie Rys. 2. MobileSafe - ochrona użytkownika końcowego ewentualnych strat na wypadek ataku oraz wzmocnienie poziomu bezpie- zagrożeń, które umożliwiają przedsię- próby automatycznych przelewów. czeństwa przy jednoczesnym zapew- biorstwu rozpoznać zainfekowanych MobileSafe pozwala weryfikować nieniu bezproblemowej obsługi. użytkowników, a także znajdować certyfikaty SSL, wykrywać złośliwe wys z uk ane wzor c e z ł o ś liwego oprogramowanie MITM (man-in-theWykrywanie nadużyć i złośliwego oprogramowania włączając w to -middle) oraz rozpoznawać modyfioprogramowania – WebSafe stosuje MITB (man-in-the-browser), wstrzy- kacje aplikacji mobilnych. Rozwiązania zaawansowane techniki identyfikacji kiwanie złośliwych skryptów oraz t e pomagają pr zedsię bior s twu 26 Integrujemy przyszłość® Numer: IV/2014 (130) zrozumieć pełny zakres zagrożeń oraz zagwarantować ochronę przeciw nim. Z aawansowane wyk r ywanie phising u – WebS afe zapewnia zaawansowane możliwości wykrywania oraz przeciwdziałania phishingu, które pomagają przedsiębiorstwom zidentyfikować atak już zanim wiadomości zostaną masowo rozesłane. WebSafe wykrywa i ostrzega kiedy strona webowa zostanie załadowana do fałszywej domeny. Dodatkowo WebSafe stara się zidentyfikować napa s t nik a d z i ę k i spe c jalnym raportom z ważnymi informacjami na temat ataku, które są wysyłane do przedsiębiorstwa. Szyfrowanie na poziomie aplikacji – Zaawansowane szyfrowanie na poziomie aplikacji chroni wszystkie poufne informacje przesyłane przez użytkowników do przedsiębiorstwa, czyniąc je bezużytecznymi dla atakującego, który mógłby je przechwycić. Szyfrowanie chroni również dane do logowania w momencie kiedy te używane są przez przeglądarkę lub aplikację mobilną jeszcze przed zaszyfrowaniem ich przez SSL. Ochrona transakc ji – WebSafe wykonuje szereg kontroli transakcji, włączając w to kontrolę iFrame, analizę behawioralną, a także podpis przeciwdziałać oszustwom internetowym bez modyfikowania aplikacji, czy instalacji specjalistycznego oprogramowania po stronie klienta. Rozwiązanie to pozwala zapewnić ochronę bez Wykrywanie urządzeń zrootowanych zmian w przyzwyczajeniach użytkow– MobileSafe stosuje różne kontrole ników lub wprowadzania skomplikow celu identyfikacji problemów wanego kodu do aplikacji, zapewnia związanych z bezpieczeństwem – pełną transparentność i większą takich jak nieaktualny system opera- skuteczność podczas wdrażania. cyjny lub oznaki wskazujące, że jakaś aplikacja została zmodyfikowana – Security Operations Center – F5 a następnie przypisuje wynik ryzyka s twor z y ł o najnowoc ze ś niejs ze do urządzenia. Je śli urządzenie Security Operations Center (SOC ), używa nieoryginalnego systemu które monitoruje globalnie działania operacyjnego (jest zrootowane lub po atakujących, powiadamia administrajailbreak’u) pozwala użytkownikom torów o zagrożeniach, a także zamyka w łatwy sposób pobierać oprogramo- phishingowe proxy, aby zminimalizować wanie z niezidentyfikowanych źródeł, ich wpływ na biznes. Zespół SOC składa które mogą zawierać złośliwe oprogra- się z doświadczonych badaczy i analimowanie. MobileSafe wykrywa tyków, którzy analizują nowe złośliwe równie ż transakcje pochodz ące oprogramowania i ataki na całym z takich urządzeń w celu udaremnienia świecie, aby cały czas być na bieżąco ataków typu Zeus, Citadel oraz innego z najnowszymi atakami typu malware, popularnego złośliwego oprogra- zero-day czy phishing. Centrum to służy mowania, które w łatwy sposób jako poszerzenie zespołu bezpieczeństwa modyfikuje aplikacje i wykorzystuje w przedsiębiorstwie, utrzymując ich je do uzyskania od użytkownika administratorów świadomych nowych jednorazowych haseł (OTP – one-time ataków, które potencjalnie mogą stać password), przekierowania wiado- się bezpośrednim zagrożeniem dla mości SMS oraz przechwycenia firmy. Zespół SOC jest odpowiedzialny za odkrycie nowych zagrożeń takich jak wprowadzanych informacji. np. Eurograbber oraz kilku kluczowych Transparentność dla użytkownika ataków zero-day i ściśle współpracuje i aplikacji – WebSafe i MobileSafe jako z organami ścigania w kilku krajach, m.in. jedyne w swoim rodzaju pozwalają w Stanach Zjednoczonych. i weryfikację funkcji. Dodatkowo przypisuje ocenę ryzyka do każdej transakcji w oparciu o prawdopodobieństwo, że może być ona oszustwem. Rys. 3. Główne zalety oprogramowania WebSafe i MobileSafe Biuletyn Informacyjny SOLIDEX® 27 TECHNOLOGIE Płynnie zintegrowane narzędzie z platformą F5 BIG -IP pozwala zmniejszyć czas wdrożenia poprzez wyeliminowanie jak iejkolwiek potrzeby rozbudowywania aplikacji. Dzięki temu, każde przedsiębiorstwo – razem z WebSafe i MobileSafe – może zacząć chronić wszystkich użytkowników od zagrożeń internetowych w przeciągu kilku dni zamiast kilku tygodni. Usługi WebSafe mogą być w łatwy sposób konfigurowane i zarządzane z interfejsu użytkownika BIG-IP. Taka integracja pozwala na szybkie definiowane profili do zwalczania nadużyć finansowych, wyłączanie i włączanie usług ochrony, konfigurację serwera powiadomień, a wszystko to przy u ż yciu dobrze znanego interfejsu. Jako usługa platformy BIG-IP, WebSafe pozwala zarządzać wszystkimi aspektami bezpieczeństwa i jego nadużyć z wewnątrz zespołu bezpieczeństwa sieci. Konfiguracja lub dostrajanie może być przeprowadzane przez specjalistę z zakresu sieci lub bezpieczeństwa w czasie godzin pracy przedsiębiorstwa, także przy użyciu aktualizacji, które instalują się w ciągu kilku minut i nie wymagają przestojów w pracy. Opracowano na podstawie oficjalnych materiałów producenta. M.K. Waszych organizacji www.SOLIDEX.com.pl 28 Integrujemy przyszłość® Numer: IV/2014 (130) Przegląd rozwiązań firmy Smart Firma SMART Technologies ULC jest światowym liderem w technologii tablic multimedialnych, historia firmy sięga 1991 roku, kiedy to inżynierowie korporacji SMART opracowali i wprowadzili na rynek pierwszą na świecie tablicę interaktywną. Firma SMART przez ponad 20 lat swego istnienia dostarcza zintegrowane rozwiązania, które w znaczącym stopniu wpływają na poprawę i przyspieszenie procesów dydaktycznych i biznesowych. Według raportu opracowanego przez firmę Futuresource Consulting, a także informacji udostępnionych przez producenta, tablice interaktywne SMART można odnaleźć w blisko milionie sal lekcyjnych i konferencyjnych, a każdego dnia z technologii SMART korzysta ok. 30 milionów aktywnych użytkowników. Oferta przedsiębiorstwa SMART to nie tylko tablice interaktywne, ale także ekrany interaktywne, panele i stoliki multimedialne, systemy prezentacji, systemy zbierania odpowiedzi oraz oprogramowanie do prowadzenia zajęć lekcyjnych i spotkań konferencyjnych. Tablice interaktywne SMART Board serii 800 Rozwiązania serii 800 to wysoce zaawansowane tablice (rysunek 1), które zapewniają swoim użytkownikom wielodost ęp do obszar u roboczego, dzięki czemu możliwa jest wspólna i jednoczesna praca na tablicy przez dwie osoby bez Rys. 1. Tablica SMART Board serii 880 Biuletyn Informacyjny SOLIDEX® 29 TECHNOLOGIE Rys. 2. SMART Response XE konieczności przełączania się miedzy oddzielnymi trybami użytkownika lub pracą w odseparowanych obszarach. Tablice prezentowanej serii posiadają budowę modułową, dzięki czemu możliwe jest dołączanie dodatkowych komponentów takich jak interaktywny system zbierania odpowiedzi, mobilny stojak podłogowy, czy też system sterowania projektorem SM A RT. P raca na t ablicy może się odbywać przy wykorzystaniu specjalnych pisaków lub poprzez dotyk palcem. Tablice serii 800 same rozpoznają użyte narzędzie (pisak, palec, gumka) do pracy na tablicy bez konieczności naciskania jakichkolwiek przycisków lub wybierania odpowiednich ustawień w menu urządzenia. Powierzchnia tablicy posiada matową konstrukcję, co pozwala na komfortową projekcie obrazu. Tablica nadaje się także do użycia jako tradycyjna tablica do wykorzystania z sucho ścieralnymi markerami i magnesami. Tablice interaktywne SMART Board serii 800 objęte są dwuletnią gwarancją, 30 Rys. 3. SMART Podium 500 którą można wydłużyć do pięciu lat po zarejestrowaniu produktu. i jest kompatybilny z systemami operacyjnymi Microsoft Windows i MAC . Odbiornik dołączany jest do komputera wykładowcy poprzez Interaktywny system kabel USB i nie wymaga żadnego zbierania odpowiedzi innego dodatkowego źródła zasilania. SMART Response Piloty do połączenia z odbiornikiem Funkcjonalność systemów zbudo- wykorzystują niezawodną i bezpieczną wanych w oparciu o rozwiązania transmisję radiową. SMART może zostać rozszerzona o interaktywny system zbierania Interaktywne panele SMART odpowiedzi dzięki wykorzystaniu Podium serii 500 narzędzi SMART Response (rysunek 2). System złożony z bezprzewodowych Praca w salach wyposażonych w tablice pilotów, odbiornika i wydajnego multimedialne SMART jest możliwa oprogramowania pozwala „na żywo” nie tylko z poziomu samej tablicy, zbierać odpowiedzi, przetwarzać czy też z komputera operatora, ale je i generować interesujące raporty. także poprzez wykorzystanie interakSystem SMART Response XE pomaga tywnego panelu SMART Podium w utrzymaniu zainteresowania (rysunek 3). Po dołączeniu panelu i zaangażowania słuchaczy podczas do komputera użytkownik dostaje wykładów, seminariów poprzez możliwość wyświetlania materiałów dostarczenie możliwości indywidu- na tablicy z poziomu interaktywnego alnego udzielania odpowiedzi czy panelu, nanoszenia na nich uwag przy brania udziału w quizach online. wykorzystaniu cyfrowego atramentu System może zostać dostarczony SMART oraz zyskuje możliwoś ć w zestawach zawierających 24, 32 udostępniania materiałów na innym lub 40 bezprzewodowych pilotów ekranie w tym samym pomieszczeniu Integrujemy przyszłość® Numer: IV/2014 (130) Rys. 4. SMART Notebook lub w zdalnej lokalizacji. Interaktywny panel SMART Podium jest idealnym rozwią zaniem dla prezenterów, wszystkie materiały przedstawiane słuchaczom są również wyświetlane na dużym ekranie bezpośrednio przed prelegentem bez konieczności odwracania się od uczestników konferencji, a za pomocą wbudowanych narzędzi i przewodowego pióra można poruszać się po materiałach i zarządzać nimi jak za pomocą tradycyjnego komputera. Oprogramowanie SMART Notebook Rozwiązania SMART to nie tylko urządzenia fizyczne, ale także bogata gama aplikacji. SMART Notebook (rysunek 4), czyli zaawansowane narzędzie do nauczania grupowego pozwala na tworzenie interaktywnych zajęć lekcyjnych, dzięki czemu wpływa na poprawę efektywności nauczania. Aplikacja może zostać zintegrowana z innymi urz ądzeniami interaktywnymi, tworząc zaawansowaną platformę naukową. Dzięki SMART Notebook otrzymujemy zestaw unikatowych funkcji do tworzenia własnych interaktywnych lekcji, a narzędzia takie jak kolorowe pióra czy przyrządy geometryczne pozwalają uczniom na aktywniejszy udział w zajęciach lekc yjnych . SM A R T Not ebook pozwala na łatwe zarządzanie całym materiałem lekcyjnym, poszc zególne strony z etapami zajęć można w szybki i wygodny sposób eksportować do popularnych formatów takich jak JPEG, PNG lub GIF. SMART Netbook pozwala na tworzenie własnych interaktywnych lekcji, ale także dostarcza edytowalne szablony lekcyjne oraz zapewnia dostęp do bazy on-line SMART Exchange zawierającej ponad 60 000 gotowych zasobów edukacyjnych. Oprogramowanie konferencyjne Smart Bridgit wykorzystywana przez użytkowników na ich własnych komputerach, na tablicach interaktywnych SMART oraz na interaktywnych panelach. Poprzez integrację tablic interaktywnych z panelami multimedialnymi, uczestnicy zdalnych spotkań mogą pracować na jednej wspólnej stronie oprogramowania SMART Board tak jakby się znajdowali w jednym pomieszczeniu i pisali po jednej tablicy. Rozwiązanie SMART Bridgit idealnie nadaje się do organizowania zdalnych spotkań firmowych, uczestnicy spotkania udostępniają własne pulpity w c zasie rzec zywistym, a każdy uczestnik spotkania może pisać po współdzielonych materiałach cyfrowym atramentem SMART. Bridgit to nie tylko zdalna praca na współdzielonych materiałach konferencyjnych, ale także możliwość przesyłania dźwięku i obrazu, dzięki czemu można organizować spotkania „twarzą w twarz” na odległość. Przedstawione oprogramowanie do komunikacji wykorzystuje wielowarstwowe opcje zabezpieczenia hasłem oraz szyfrowanie SSL . Obecnie pełna wer sja oprogramowania Smar t Bridgit jest kompatybilna z systemami Microsoft Windows i MAC. Uruchomienie usługi SMART Bridgit może wymagać instalacji własnego serwera, ale także istnieje możliwość wykorzystania jednego z serwerów SMART. Przedstawione w artykule produkty stanowią tylko część z bogatej gamy rozwiązań firmy SMART. Dla każdej z branż, począwszy od edukacji poprzez biznes kończąc na medycynie, można skonstruować rozwiązanie spełniające specyficzne wymagania zamawiającego oparte o technologie SMART. Artykuł opracowano na podstawie SMART Bridgit to narzędzie uprasz- informacji udostępnianych przez czające obsługę konferencji pozwa- producenta. lające na przekazywanie informacji P.G. na odległość. Aplikacja może być Biuletyn Informacyjny SOLIDEX® 31 ROZWIĄZANIA Monitorowanie aplikacji w sieci WLAN za pomocą Cisco AVC Rozwój sieci bezprzewodowych i coraz bardziej popularny trend BYOD (Bring Your Own Device) powoduje konieczność monitorowania i śledzenia aplikacji działających w sieci, jak również dostarczania informacji, które aplikacje i którzy użytkownicy zużywają najwięcej pasma oraz zapewnienia odpowiednich priorytetów dla aplikacji biznesowych w sieci przedsiębiorstwa. Rys.1 Ewolucja aplikacji w przedsiębiorstwie 32 Integrujemy przyszłość® Numer: IV/2014 (130) Monitorowanie aplikacji W przeszłości typowy ruch sieciowy jak HTTP, HTTPS, POP3 oraz IMAP można było łatwo zidentyfikować za pomocą dobrze znanych numerów por tów. Obec nie istnieje coraz aplikacji takich jak Exchange czy aplikacje do transmisji głosu i wideo, dostarczane przez strumień RTP wykorzystuje dynamiczne porty. To sprawia, że identyfikacja rodzaju aplikacji w oparciu o numer portu jest bardzo utrudniona. Ponadto niektóre nie jest już wystarczające. Cisco Application Visibility and Control (AVC) Rozwiązanie Cisco AVC dla sieci bezprzewodowych identyfikuje ponad 1000 aplikacji biznesowych oraz klasy konsumenckiej z wykorzystaniem technologii DPI (Deep Packet Inspection). Ten niezwykły wgląd w ruch aplikacji pozwala administratorom nadać wyższy priorytet aplikacjom biznesowym jak telefonia oraz telekonferencje, natomiast inne aplikacje niepożądane jak na przykład peer-to-peer zablokować – czy to ze względów bezpieczeństwa czy też w celu zaoszczędzenia pasma w sieci. Jak działa Cisco AVC ? Rys.2. Cisco AVC większa liczba aplikacji zarówno biznesowych jak również służących do rozrywki, które są dostarczane w oparciu o protokół http. Wiele aplikacje prezentują się jako ruch HTTP, ponieważ nie chcą być wykryte. W rezultacie rozpoznawanie aplikacji poprzez sprawdzanie numeru portu AVC wykorzystuje kilka technologii i składa się z czterech elementów funkcjonalnych. Rozwiązanie Cisco AVC wykorzystuje wiele technologii rozpoznawania, analizowania oraz kontroli aplikacji, włączając w to głos oraz wideo, pocztę, Rys. 3. Elementy funkcjonalne Cisco AVC Biuletyn Informacyjny SOLIDEX® 33 ROZWIĄZANIA Rys. 4. Prime Infrastructure – Top N Applications udostępnianie plików, peer-to-peer (P2P) i aplikacje w chmurze. Cisco AVC składa się z następujących elementów: wgrania Protokol Pack, podczas normalnej pracy routera. parametry są agregowane i eksportowane przy użyciu formatu NetFlow w wersji 9 oraz IPFIX. Narzędzia zarządzania Dane z AVC mogą być eksportowane do Cisco Prime Infrastructure z modułem A ssuranc e . Innym pr z yk ł adem rozpoznawania, analizowania oraz kontroli aplikacji, aplikacji współpracującej z AVC jest włączając w to głos oraz wideo, pocztę, udostępnianie Cisco Insight, który może zapewnić plików, peer-to-peer (P2P) i aplikacje w chmurze. do 30 różnych raportów “widoczności aplikacji”, aby pomóc nam w planowaniu wydajności i diagnostyce aplikacji. Istnieje także możliwość Rozpoznawanie aplikacji (Aplication Z bieranie infor mac ji wydajno - eksportu danych do aplikacji zarządzaściowych i eksport danych (Perfor- jących firm trzecich, co daje Klientom Recognition) Za pomocą Cisco AVC kontrolery mance Collection and Exporting) elastyczność i możliwość wyboru bezprzewodowe, routery A SR1k Cisco AVC wykorzystuje wbudo- narzędzia do zarządzania. oraz ISR-G2 mogą zidentyfikować wanego agenta monitorującego do ponad 1000 aplikacji u ż ywając zbierania parametrów dotyczących Kontrola technologii DPI nowej generacji, działania aplikacji takich jak czas nazywanej Network-Based Appli- odpowiedzi aplikacji (Application Dzięki wykorzystaniu wspólnej cation Recognition 2 (NBAR2). Aby Response Time), opóźnienia, utraty technologii DPI, NBAR2, rutery oraz zapewnić obsługę nowych aplikacji pakietów oraz parametru jitter dla kontrolery WLC mogą nadawać wyższy w NB A R 2 , is t nieje mo ż liwo ś ć aplikacji głosowych i wideo. Te priorytet krytycznym aplikacjom lub Rozwiązanie Cisco AVC wykorzystuje wiele technologii 34 Integrujemy przyszłość® Numer: (130) Numer:IV/2014 II/2012 (119) Podsumowanie przydzielać pasmo używając mechanizmów jakości usług QoS. Lync jest wieloplatformowy, może działać zarówno na komputerach Prime Infrastructure stacjonarnych Windowsjako i Mac OS, Assurance Manager jak i Platformach Mobile Windows Phone, iOS (iPad, iPhone), Android. Podstawowy nie odbiega Aplikacja Primeinterfejs Infrastructure może od wzorcowego okna komunikatora służyć zarówno do konfiguracji Cisco internetowego. Rysunek 3 przedstawia AVC na urządzeniach jak pionowo zorientowanąsieciowych, listę kontaktów również jako aplikacja do zbierania ze zdjęciami, obok umieszczono status danych z Cisco AVC. Aby menu mieć globalne i opis, w górnej części podstawowych funkcji. Wspomniany pulpit informacje o aplikacjach działających nawigacyjny upraszcza odnajdowanie w sieci, trzeba przejść do menu Operate i używanie typowych funkcji, takich > Performance lub Home > Performance jak klawiatura numeryczna, wizualna ipoczta wybraćgłosowa, Service Assurance. lista kontaktów i lista Na rysunku przedstawiony jest dashlet aktywnych4 konwersacji. Lync jest bardzo który elastyczny, jeśli „Top N Applications”, prezentuje 15 chodzi o popularnych wdrożenia aplikacji i możliwości najbardziej w sieci. integracji. Możliwa jest również Jednym z głównych wymagań jest integracja programu z istniejącą śledzenie “topnatalkers”, zarówno telefoniątzw. IP, jak przykład Cisco. w kontekście klientów jak i serwerów. Rysunek 2 przedstawia przykładową Operator może sprawdzić, kto integracjęsieci z IP telefonami. używa określonej aplikacji i kto Powyższy artykuł miał naprześledzić celu przedzużywa dużo pasma oraz stawienie aplikacji Lync od strony czy jest to normalny tryb pracy. użytkownika. Program Microsoft Lync 2010 to doskonały klient do ujednoPodsumowanie liconej komunikacji z możliwością obsługi wiadomości błyskawicznych, połączeń głosowych oraz spotkań. Obecna sieć przedsiębiorstwa ma W zak tualizowanym inter fejsie zapewnić optymalne działanie aplikacji użytkownika programu Lync rozmaite biznesowych użytkowników, jak narzędzia dodla komunikacji rozmieszrównież zapewnić administratorowi czono w sposób usprawniający ich sieci narzędzia monitorowania obsługę. Funkcjedo konferencji są jeszcze skuteczniejsze dzięki wbudowanej działania oraz wydajności aplikacji. funkcjiAVC udostępniania pulpitu i aplikacji, Cisco rozwiązuje te kwestie, funkcji przekazywania w programie poprzez wykorzystanie mechanizmów Power Point oraz funkcji kopiowania zaimplementowanych w infrastruki wklejania obrazów i innej zawartości. turze sieciowej w celu identyfikacji, Opracowano naipodstawie oficjalnych monitorowania kontroli aplikacji. materiałów producenta. Aspekty dotyczące Cisco AVC, monitorowania, raportowania, optymalizacji oraz M.G. zarządzania konfiguracją sieci bezprzeInżynier SOLIDEX wodowej za pomocą aplikacji Cisco Prime Infrastructure 2.0 omawiane są na autoryzowanym szkoleniu Cisco Systems o nazwie WMUAPI znajdującym się w ofercie SOLIDEX. SOLIDność w każdym działaniu... Opracowano na podstawie oficjalnych materiałów producenta. G.B. Biuletyn Informacyjny SOLIDEX® Biuletyn Informacyjny SOLIDEX® 33 35 ROZWIĄZANIA Rozwiązania Fiber to the Office (FTTO) firmy Microsens W nowoczesnych środowiskach biurowych, tradycyjne oraz strukturalne sieci napotykają na swojej drodze ograniczenia ze względu na rosnące zapotrzebowanie na szerokość pasma. W ostatnim czasie wprowadzono wiele technologii informatycznych, które mają zapewnić użytkownikom wystarczający komfort w pracy oraz dużą przepustowość i jak najmniejsze opóźnienia w systemie. Badania dotyczące zwiększenia szybkości transmisji danych wymagają wprowadzenia nowych koncepcji sieciowych. Takim modelem komunikacji jest dzisiaj technologia Fiber to the Of f ic e ( Świat ł owód do Biur a). Światłowody w budynkach jeszcze niedawno uważane za zbyt drogie, aktualnie są coraz częściej stosowane jako podstawa współczesnej sieci t ransmisyjnej. Równie ż kosz ty zakupu, instalacji i eksploatacji okablowania światłowodowego są niższe niż łączy miedzianych. Konc epc ja F T TO (Fiber to the Office) firmy Microsens opiera się na wydajnej architekturze „collapsed backbone”, czyli sieci szkieletowej z punktem centralnym (rysunek 1). Jest to sieć wykorzystywana w nowoczesnych środowiskach biurowych, 36 Rys. 1. Fiber to the Office — architektura „collapsed backbone” Integrujemy przyszłość® Numer: IV/2014 (130) Rys. 2. Fiber to the Office łącząca okablowanie światłowodowe i miedziane zgodnie z najnowszymi standardami. Piony i okablowanie poziome na piętrach wykonywane są za pomocą światłowodów, do których zostały podpięte przełączniki instalacyjne Microsens. Natomiast do bezpośredniego podłąc zenia użytkowników końcowych stosuje się porty miedziane (rysunek 2). Dzię k i świat łowodom mamy możliwość lepszej transmisji danych na dużych odległościach w porównaniu ze zwykłym połączeniem przewodem miedzianym. To rozwiązanie umożliwia ograniczenie ilości p omie s z c z e ń t e c hnic z nyc h na poszczególnych piętrach i zapewnia pracownikom więcej powierzchni do pracy. Poza tym nie potrzebuje dodatkowych kosztów związanych z zapewnieniem klimatyzacji i zasilaczy UPS. Rozwiązanie FT TO zmniejsza objętość okablowania nawet o 75%, zapewniając mniejsze obcią żenie ogniowe i odporność na zakłócenia elektromagnetyczne. P rze łąc zniki instalacyjne firmy Microsens występują w wersji Fast Ethernet (FE) i Gigabit Ethernet (GE) jako kluczowe elementy rozwiązania F T TO. Zawierają one inteligentne połączenie światłowodowych portów nadrzędnych i miedzianych portów użytkownika końcowego, wykorzystując zalety światłowodów do okablowania piętra. Mogą być montowane w kanałach instalacyjnych oraz podtynkowych. Są to technologicznie zawansowane przełączniki warstwy L2+. Oprócz przełączników instalacyjnych ze zintegrowanym zasilaczem 230 VAC dostępne są również wersje z funkcją zasilania przez sieć Ethernet (Power-over-Ethernet — PoE), która umożliwia bezpośrednie zasilanie podłączonych urządzeń końcowych, takich jak telefony VoIP, kamery internetowe i punkty dostępowe. Wszystkie porty miedziane obsługują nowy standard PoE+ (IEEE 802.3at) o maksymalnej mocy 30W na port. Nowe prze łąc zniki są dost ępne w wersji 6-portowej z jednym światłowodowym ł ąc zem nadrzę dnym (uplink), jednym miedzianym łączem podrzędnym (downlink) oraz 4 portami Biuletyn Informacyjny SOLIDEX® Gigabit-Ether net (10/ 10 0/ 10 0 0 Mbit/s). Przełączniki umożliwiają zapis parametrów konfiguracji na karcie SD. W przypadku wymiany urządzenia wystarczy przełożyć kartę do nowego, zachowując całą dotychczasową konfigurację. Z uwagi na nieustannie zwiększające się zapotrzebowania na urządzenia końcowe w nowej generacji przełączników uwzględniono adresację IPv6 w postaci funkcji IP Dual-Stack. Zalety przełączników instalacyjnych: • Wymiary 45 x 45 mm (system 45 x 45) • Zwarta obudowa (bez ruchomych części i śrub) • Szybki i bezpieczny beznarzędziowy montaż typu Snap-In • Niskie zużycie energii, brak zakłóceń, izolacja galwaniczna • Sieciowa platforma zarządzająca Microsens (NMP) • Bezpieczne protokoły np. HTTPS, SNMPv3, SSH, 802.1x, RADIUS • Automatyczne wykrywanie i konfiguracja urządzeń za pomocą protokołu LLDP • Zapis ustawień systemowych na karcie SD • Integracja z telefonią IP • System operacyjny Linux Switch instalacyjny Gigabit Ethernet 6 portowy (rysunek 3), wyróżnia się następującymi cechami: • 4 porty 10/100/1000Base-T, 1 uplink 1000Base-SX/LX, 1 uplink Fast/Gigabit Ethernet 100/1000Base-X Rys. 3. Switch instalacyjny Gigabit Ethernet 6 portowy PoE. 37 ROZWIĄZANIA niższa cena od ceny tradycyjnych systemów instalacyjnych. Sieciową platformą zarządzającą firmy MICROSENS jest Network Management Platform (NMP), która zapewnia następujące funkcjonalności: • Monitorowanie i zarządzanie oraz administracja urządzeń firmy Microsens • Graficzny podgląd urządzenia oraz wizualizacja sieci • Zarządzanie użytkownikami i definiowanie uprawnień dla grup • Funkcja kontroli praw dostępu dla pracowników i usługodawców zewnętrznych • Funkcja importu planów budynków i map • Monit orowanie dost ę pno ś c i, Rys. 4. Fiber to the Office GE z PoE aktywności portów i temperatury • Automatyczne komunikaty alar• Zarządzanie za pomocą: SNMP, 4 8 VDC . Dostęp do zarządzania mowe i raporty przełącznikami możliwy jest poprzez Zastosowanie systemu MICROSENS Web, Telnet, NMP • Port-Sercurity (VLAN, SSH, HTTPS, WWW, Telnet , SNMP i NMP. Oferuje Fiber To The Office wszystkie funkcje ustalania priorytetu • Sektor publiczny IEEE 802.1X) • Power-over-Ethernet Plus zgodnie danych, VL AN i uwierzytelnianie W obliczu zmieniającego się zapotrzeb owa nia w ob e c adminis t r ac ji z IEEE 802.3at I 802.3 af, max 30W. zgodne z normą IEEE 80.2.1X. elektronicznej i zarządzania, osoby Na rysunku 4 przedstawiono zestapodejmujące decyzje administracyjne wienie F T TO z wykorzystaniem Montaż sieci FTTO w gminach, urzędach oraz w ministerprzełączników Gigabit Ethernet. Przełączniki instalacyjne występują R o z w i ą z a n i e F T T O p o w s t a ł o stwach, konfrontowane są z coraz to również w wersji Fast Ethernet w oparciu o system 45x45 mm. Jest nowymi wymaganiami. Dzisiejsza (rysunek 5). Przedstawiony model to międzynarodowy system insta- infrastruktura informatyczna musi posiada 4 por ty 10/ 100T X PoE , lacji infrastruktury sieciowej, zapew- spełniać szereg wytycznych zgodnych 1 port światłowodowy 100FX, 1 port niający instalację przełączników z najnowszymi rozporządzeniami downlink 10/100TX PoE. Urządzenie w obudowach poziomych i pionowych. i zamówieniami publicznymi, dlatego zostało wyposażone w zasilanie Zaletą systemu modułowego 45 jest właśnie rozwiązanie Fiber to the Office Rys. 5. Switch instalacyjny Fast Ethernet 5 portowy PoE 38 Rys. 6. Montaż w kanałach ściennych Integrujemy przyszłość® Rys. 7. Montaż w wysuwanej kolumnie instalacyjnej Numer: IV/2014 (130) Podsumowanie Rys. 8. Montaż biurkowy Technologia Fiber to the Office rozwija się w ostatnich latach bardzo szybko jako naturalny proces zdecentralizowanej koncepcji sieci dla nowoczesnych środowisk biurowych. Pozwala to na lepsze wykorzystanie okablowania ś wiat ł owodowego or a z miedzianego, a co za tym idzie duże oszczędności. Rozwiązanie F T TO gwarantuje wysoką wydajność sieci oraz ograniczenie kosztów energii i eksploatacji. znalazło zastosowanie w sektorze publicznym. • Medycyna Opracowano na podstawie oficjalnych System MICROSENS Fiber To The materiałów producenta. Office dostarcza dane pacjentów lekarzom i personelowi medycznemu M.J. przy maksymalnej szerokości pasma. W odniesieniu do wysokich wymagań do t yc z ą c yc h s t abilno ś c i E MC (największa sieć szpitali i przychodni w Polsce), światłowód pod względem kosztów inwestycyjnych (C APEX) jest tańszy od ekranowanych kabli miedzianych. System wykor zystuje przyszłościowe kable światłowodowe o dużym zasięgu niezbędnym do stworzenia połączeń na dużych odległościach pomiędzy obszarami klinik. Przy tym nie wymaga dużej liczby dodatkowych rozdzielaczy w poszczególnych budynkach. • Lotnictwo System FT TO jest odpowiedzią na stale rosnące zapotrzebowanie na przepustowość w nowoczesnych portach lotniczych. Wszystkie systemy infor matyc zne mają za zadanie obsłużyć coraz to większą ilość danych. • Ochrona zabytków Koncepcja FTTO sprawdza się bardzo dobrze podczas renowacji i rozbudowy istniejącej sieci, znajdując zastosowanie w budynkach objętych ochroną konserwatora zabytków. Biuletyn Informacyjny SOLIDEX® 39 ROZWIĄZANIA Praktyczna implementacja tunelu Site-to-Site na routerach Cisco Wirtualne sieci prywatne (VPN) typu Site-to-Site są jedną z kilku opcji możliwych do zastosowania w sieciach korporacyjnych, dla zapewnienia bezpiecznych połączeń pomiędzy oddziałami firmy. W niniejszym artykule zostanie zaprezentowana praktyczna implementacja połączenia VPN Site-toSite pomiędzy dwoma oddziałami korporacji, oddziałem CorpoA i oddziałem CorpoB. Przygotowanie do wdrożenia Przed przystąpieniem do wdrożenia V P N t ypu Sit e - t o -Sit e nale ż y w pierwszej kolejności zweryfikować możliwoś ć komunikacji mię dzy węzłami tunelu. Trzeba pamiętać aby ruch dla protokołów 50 (Encapsulating Security Payload) i 51 (Authentication Headre) oraz port 500 UDP (ISAKMP) nie był blokowany na interfejsach, które będą wykorzystywane przez IPSec. Kolejnym ważnym etapem w planowaniu wdrożenia omawianego rozwiązania jest jasne i precyzyjne zdefiniowanie ruchu, który powinien być przesyłany poprzez bezpieczny kanał komunikacyjny. Wybór mechanizmów szyfrowania i zabezpieczeń Rys. 1. Topologia logiczna sieci 40 Integrujemy przyszłość® Numer: IV/2014 (130) również powinien być adekwatny do zagrożeń oraz wartości danych, które będą przesyłane poprzez sieć, jak i do możliwości technicznych urządzeń wykorzystywanych w infrastrukturze. jest wysyłany poza tunelem w niezakodowanej postaci. W omawianym przykładzie cały ruch pomiędzy podsiecią 192.168.0.0/24 i podsiecią 192 .168.1.0/24 będzie przesyłany w bezpiecznym tunelu Wdrożenia Site-to-Site IPsec (rysunek 2). Z drugiej strony połączenia należy Tu n e l I P s e c j e s t i n i c j o w a n y zdefiniować podobną listę kontrolną w momencie, kiedy jedna ze stron zwaną „Mirrored Crypto ACL”, która p o ł ą c z e nia V P N w y s y ł a t z w . podobnie jak lista wcześniej przed„interesujący ruch” czyli taki, który stawiona, będzie definiowała ruch przesyłany jest między perami IPsec przesyłany poprzez bezpieczny kanał oraz spełnia kryteria zdefiniowane komunikacyjny (rysunek 3). w Crypto Access Control List (ACL). Przed zestawieniem bezpiecznego Ruch, który trafia w regułę zdefi- połąc zenia IP Sec urządzenia po niowaną w liście kontroli dostępu obu stronach tunelu muszą ustalić (ACL) i określony jest jako ruch między sobą związki zabezpieczeń dozwolony (Permie), jest chroniony SA (Security Association). Można to i wysyłany poprzez tunel V PN. wykonać ręcznie lub automatycznie Natomiast ruch niedozwolony (Deny) pr z y wykor z yst aniu prot oko ł u CorpoA(config)#ip access-list extended VPN-TRAFFIC CorpoA(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 Rys. 2. Konfiguracja ACL dla CorpoA CorpoB(config)#ip access-list extended VPN-TRAFFIC CorpoB(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 Rys. 3. Konfiguracja ACL dla CorpoB CorpoA(config)#crypto isakmp policy 1 CorpoA(config-isakmp)#encryption aes CorpoA(config-isakmp)#hash sha CorpoA(config-isakmp)#authentication pre-share CorpoA(config-isakmp)#group 5 CorpoA(config-isakmp)#lifetime 86400 Rys. 4. Konfiguracja fazy 1 dla CorpoA CorpoB(config)#crypto isakmp policy 1 CorpoB(config-isakmp)#encryption aes CorpoB(config-isakmp)#hash sha CorpoB(config-isakmp)# authentication pre-share CorpoB(config-isakmp)#group 5 CorpoB(config-isakmp)#lifetime 86400 Rys. 5. Konfiguracja fazy 1 dla CorpoB CorpoA(config)#crypto isakmp key 6 cisco123 address 10.0.0.5 Rys. 6. Konfiguracja klucza współdzielonego CorpoA CorpoB(config)#crypto isakmp key 6 cisco123 address 10.0.0.1 Rys. 7. Konfiguracja klucza współdzielonego CorpoB CorpoA(config)#crypto ipsec transform-set transformata esp-sha-hmac esp-aes 256 Rys. 8. Transform set dla CorpoA Biuletyn Informacyjny SOLIDEX® IK E ( Int e r ne t K e y E xc ha nge) . Protokół IKE(ISAKMP) wykorzystuje złożoność algorytmu Diffiego - He llma na , d z i ę k i k t ór e mu możliwe jest utworzenie zaszyfrowanego klucza sesji bez konieczności wcześniejszej wymiany tajnych informacji między stronami połączenia V PN. Dział anie prot oko ł u IK E realizowane jest w dwóch etapach zwanych również fazami negocjacji połączenia VPN. Faza 1 (negocjacja IKE SA) swoim zasięgiem obejmuje utworzenie bezpiecznego kanału komunikacji i wymianę kluczowych informacji, które następnie posłużą do przeprowadzenia fazy 2 połączenia. W skład wymienianych informacji w ramach fazy 1 wchodzą: • Algorytm szyfrowania (3DES, AES) • Funkcja skrótu (MD5, SHA-1/SHA-2) • Grupa Diffiego-Hellmana (DH group1, DH Group5) • Metoda uwierzytelnienia (Pre-share, RSA Signature) • Czas życia klucza Grupa Diffiego-Hellmana określa długość klucza, gdzie grupa 1 to klucz o długości 768 bitów a grupa 5 klucz o długości 1536 bitów. W fazie 2 (negocjacja IP Sec SA) ustalane są związki zabezpieczeń (SA) transmisji danych, wykorzystywanych do szyfrowania danych przesyłanych w tunelu IPSec. Konfiguracje fazy pierwszej przedstawia rysunek 4. Podobną politykę należy skonfigurować na urządzeniu determinującym połączenie z drugiej strony tunelu (rysunek 5). K olejnym et apem konfigurac ji połączenia Site-to-Site jest zdefiniowania klucza współdzielonego do autentykacji połączenia z urządzeniem znajdującym się z drugiej strony tunelu (rysunek 6 i 7). Po wykonaniu przedstawionych powyżej czynności konfiguracja 41 ROZWIĄZANIA dla połączenia IPSec Utworzoną krypto mapę (rysunek 10 i 11) należy przypiąć do odpowiedniego interfejsu routera. Trzeba pamiętać, że tylko jedna krypto mapa może zostać przyłączona do pojedynczego interfejsu (rysunek 12 i 13). CorpoB(config)#crypto ipsec transform-set transformata esp-sha-hmac esp-aes 256 Rys. 9. Transform set dla CorpoB CorpoA(config)#crypto map CMAP_AB 10 ipsec-isakmp CorpoA(config-crypto-map)#set peer 10.0.0.5 CorpoA(config-crypto-map)#set transform-set transformata CorpoA(config-crypto-map)#match address VPN-TRAFFIC Rys. 10. Konfiguracja krypto mapy na CorpoA Weryfikacja pracy i konfiguracji IPSec VPN CorpoB(config)#crypto map CMAP_AB 10 ipsec-isakmp CorpoB(config-crypto-map)#set peer 10.0.0.1 CorpoB(config-crypto-map)#set transform-set transformata CorpoB(config-crypto-map)#match address VPN-TRAFFIC D o wer yf ik ac ji us t awie ń or a z s t a nu p r a c y p o ł ą c z e n i a V P N można wykorzystać zbiór komend możliwych do wykonania z poziomu CLI Cisco IOS. St an po ł ąc zenia V PN w fazie 1 można zweryfikować wykorzystując polecenie show crypto isakmp sa (rysunek 14). Rys. 11. Konfiguracja krypto mapy na CorpoB CorpoA(config)#interface serial 0/0/0 CorpoA(config-if)#crypto map CMAP_AB Rys. 12. Przycięcie krypto mapy do interfejsu routera CorpoA CorpoB(config)#interface serial 0/0/0 CorpoB(config-if)#crypto map CMAP_AB Rys. 13. Przycięcie krypto mapy do interfejsu routera CorpoB fazy pierwszej została zakończona. Następnie można przejść do konfiguracji fazy drugiej połączenia, gdzie oprócz określenia interesującego ruchu (co zostało przedstawione na wstępie tego artykułu) należy zdefiniować transform set i krypto mapę z jej asocjacją do odpowiedniego interfejsu. Transform set reprezentuje pewną kombinację protokołów i algorytmów bez piec ze ństwa moż liwych do wykor z ys t a nia pr z e z a k t or ów po ł ąc zenie V PN. Strony tunelu podczas negocjacji związków zabezpieczeń (SA) wykorzystują protokoły przedstawione w transformacie do ochrony przesyłanych danych. Konfiguracja transform set została przedstawiona na rysunkach 8 i 9. . O s t at nim et apem konf ig ur ac ji b e z pie c z ne go p o ł ą c z e nia je s t utworzenie krypto mapy, która łączy wcześniej zdefiniowaną konfigurację ISAKMP i IPSec. Krypto mapa koniecznie musi zawierać parametry określające: • Jaki ruch będzie chroniony przez IPSec ( Crypto ACL) • Adres IP zdalnego uczestnika połączenia IPSec • Określenie właściwej transform set 42 Komenda Opis show crypto isakmp policy Wyświetla konfigurację polityki ISAKMP show crypto ipsec transform-set Wyświetla konfigurację IPSec transform set show crypto map Wyświetla konfigurację krypto mapy show crypto ipsec sa Wyświetla stan połączeni IPSec Tabela 1. Komendy do weryfikacji IPSec. CorpoA#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state 10.0.0.5 10.0.0.1 QM_IDLE IPv6 Crypto ISAKMP SA conn-id status 1001 ACTIVE Rys. 14. Wynik polecenia show crypto isakmp sa State Opis MM_NO_STATE Faza 1 SA została utworzona, ale nie wydarzyła się żadna inna akcja MM_SA_SETUP Peery połączenia VPN uzgodniły parametry fazy 1 SA MM_KEY_EXCH Negocjacja DH zakończyła się sukcesem, ale faza 1 SA pozostaje nieuwierzytelniona MM_KEY_AUTH Faza 1 SA została uwierzytelniona QM_IDLE Faza 1 SA uzgodniona Tabela 2. Wartości dla state Status ACTIVE Opis Faza 1 terminowana jest na urządzeniu active w klastrze HA STANDBY Faza 1 terminowana jest na urządzeniu standby w klastrze HA Tabela 3. Wartości dla status Integrujemy przyszłość® Numer: IV/2014 (130) CorpoA#show crypto ipsec sa interface: Serial0/0/0 Crypto map tag: CMAP_AB, local addr 10.0.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 10.0.0.5 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 504242, #pkts encrypt: 504242, #pkts digest: 504242 #pkts decaps: 502096, #pkts decrypt: 502096, #pkts verify: 502096 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 20, #recv errors 0 local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.5 path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0 current outbound spi: 0x7F116E15(2131848725) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xF31DBE6A(4078812778) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2027, flow_id: Onboard VPN:27, sibling_flags 80000046, crypto m ap: CMAP_AB sa timing: remaining key lifetime (k/sec): (4546216/3104) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x7F116E15(2131848725) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2028, flow_id: Onboard VPN:28, sibling_flags 80000046, crypto map: CMAP_AB sa timing: remaining key lifetime (k/sec): (4546623/3104) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: Rys. 15. Wynik polecenia show crypto isakmp sa CorpoA#show crypto session Crypto session current status Interface: Serial0/0/0 Session status: UP-ACTIVE Peer: 10.0.0.5 port 500 IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.5/500 Active IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 Active SAs: 2, origin: crypto map Podsumowanie Połączenie VPN typu Site-to-Site wykorzystujące mechanizm IPSec jest jedną z kilku możliwych dróg do osiągnięcia pożądanego poziomu bezpieczeństwa dla ochrony danych. Rys. 16. Wynik polecenia show crypto sesion Dzięki przedstawionej implementacji uzyskujemy pewność, że komunikujące Kolumna st at e ok re śla post ę p Faza 2 połączenia może być monitorowa- się ze sobą węzły zostały uwierzyteli stan negocjacji połączenia w fazie 1, na przy wykorzystaniu polecenie show nione przy wykorzystaniu silnego natomiast kolumna status informuje, że crypto ipsec sa (rysunek 15), które mię- mechanizmu autentykującego a dane tunel terminowany jest na urządzeniu dzy innymi wyświetla zbiór liczników przesyłane przez tunel są odpowiednio active lub standby w przypadku szyfrowanych i deszyfrowanych danych, zabezpieczone poprzez algorytmy konfiguracji kilku routerów w trybie przesyłanych przez bezpieczny kanał ko- dbające o poufność i integralność danych. high-availability. munikacyjny. Wartości jakie mogą zostać wyświe- Poprawne działanie tunelu można rówP.G. tlone w kolumnach state lub status nież zweryfikować przy wykorzystaniu zostały przedstawione w tabelach 2 i 3. polecenia show crypto sesion (rysunek 16). Biuletyn Informacyjny SOLIDEX® 43 ROZWIĄZANIA F5 Networks Application Acceleration Manager (AAM) Sieci korporacyjne coraz częściej są przeciążone przez rosnącą liczbę funkcji, które realizują. Zachowanie stabilnej i niezawodnej infrastruktury sieciowej staje się ogromnym wyzwaniem w kontekście rosnących wymagań na przepustowość oraz konieczności obsługi coraz większej liczby aplikacji. Dodając do tego dynamicznie zmieniającą się specyfikę ruchu, przejście z transmisji danych tekstowych na zawartości multimedialne czyni zadanie jeszcze trudniejszym. Odpowiedzi na pytanie jak zagwarantować gotowość naszego środowiska IT do spełnienia stawianych mu wymagań jest kilka. Jedną z nich jest inwestycja w przepustowość łącz, jednak taki precedens może okazać się niezwykle kosztowny. Firma F5 Networks posiada w swoim portfolio rozwiązanie efektywne kosztowo. Niniejszy artykuł ma na celu zaprezentowanie jak za pomocą dedykowanych narzędzi możemy inteligentnie zarządzać pasmem i utrzymać naszą sieć w stale dobrej kondycji. Zmieniająca się przepustowość dynamicznie generowanych zawartości przez co ich rozmiar rośnie z dnia na dzień. Dodatkowo większość najNie od dzisiaj wiadomo, że wyma- częściej odwiedzanych witryn internegania na przepustowość stale rosną towych obrała kierunek dostarczania w zastraszającym tempie. Zauważalne informacji za pośrednictwem plików jest to zarówno w skali globalnej, jak wideo. Nakładając na to transmisję i w segmentach sieci korporacyjnych. multimediów w jakości HD (High DefiKorzystanie z aplikacji przeglądarko- nition) okazuje się, że wymagania na wych staje się coraz bardziej popu- przepustowość mają tendencję wzrolarne. Wyposażone są one w zestaw stową o charakterze ekspotencjalnym. 44 Integrujemy przyszłość® Wartości te nabierają większego ogromu rozpatrując przepustowość w środowisku mobilnym, w którym opóźnienie oraz stopa błędu są relatywnie wysokie. Dostarczenie żądanej przez użytkowników smartfonów i tabletów aplikacji generuje większą liczbę retransmisji oraz wymaga większego narzutu pakietowego w celu zapewnienia detekcji oraz korekcji błędów z kanału transmisyjnego. Numer: IV/2014 (130) IP Traffic, 2010-2015 2010 2011 2012 2013 2014 2015 CAGR 2010-2015 Fixed Internet 14,955 20,65 27,434 35,879 46,879 59,354 32% Managed IP 4,989 6,839 9,014 11,352 13,189 14,848 24% Mobile data 237 546 1,163 2,198 3,806 6,254 92% By Type (PB per Month) Tabela 1. Ilość ruchu IP w skali globalnej. Źródło: Cisco Systems. Rys. 1. Ilość użytkowników Internetu na 100 mieszkańców. Źródło: International Telecommunications Union. BIG-IP AAM przeciążenia w sieci, BIG-IP A AM może pomóc. S t a r ym s pr aw d z onym r oz wi ą - Jedną z zalet rozwiązania jest możliz a n i e m p o t r z e b y n a w i ę k s z ą wość odciążenia serwerów zlokaprzepustowoś ć było zwyc zajne lizowanych w centrach danych zwiększenie przepustowości. Proces z zasobochłonnych operacji. Zadania ten jednak wiązał się z wysokimi związane z szyfrowaniem ruchu czy kosztami inwestycyjnymi zarówno też z kompresją odpowiedniej porcji na rozbudowę infrastruktury jak i na danych mogą być przeniesione na odpowiednie zaplanowanie zakupów system F5. Dzięki takiemu zabiegowi rozważając parametr skalowalności. serwery aplikacyjne mogą robić to, do Idealnym rozwiązaniem wszystkich czego zostały wdrożone – udostęptych problemów wydaje się być niać aplikacje i nie martwić się o jakość produkt firmy F5 Networks Appli- i bezpieczeństwo dostarczanych usług. cation Acceleration Manager (AAM). Jest on zaprojektowany tak, aby Odpowiedź na problemy skutecznie służyć każdej organizacji niezależnie od wymagań na przepusto- Samym sednem wykorzystania BIG-IP wości dla odpowiedniego udostęp- Application Acceleration Manager jest nienia aplikacji. Niezależnie od tego, wprowadzenie optymalizacji wykorzyczy połączenia zużywają zbyt dużo stania zasobów naszych serwerów, pasma, czy usługi pracujące w tle, optymalizacji pasma sieciowego oraz jak na przykład replikacja powodują podniesienie parametru Quality of Biuletyn Informacyjny SOLIDEX® Experience (QoE). Wykonywane jest to poprzez inteligentną redukcję danych wymienianych przez infrastrukturę sieciową. Sam system F5 realizuje to za pomocą: • Optymalizacji TCP – AAM potrafi zredukować narzut wprowadzany przez protokół TCP w standardowej komunikac ji (podc zas nawią zywania sesji oraz korekcji błędów). Wszystko to pozwala na ograniczenie ilości niepotrzebnych danych wysyłanych przez sam protokół TCP. Proces ten jest zupełnie niewidoczny z punktu widzenia samej aplikacji, środowiska sieciowego oraz stacji końc owych zaanga ż owanych w komunikację. BIG-IP AAM precyzyjnie wybiera rozmiar okna TCP, który jest kompromisem pomiędzy najwyższą możliwą przepustowością, a minimalną liczbą retransmisji. • Kompresji symetrycznej – A AM przeprowadza kompresję niemalże w sposób tożsamy do kompresji programowej stosowanej na dyskach twardych. Przesyłane dane są odpowiednio kompresowane nim zostaną wysłane do swojego odbiorcy. Po drugiej stronie transmisji paczka danych jest rozpakowywana w celu otrzymania oryginalnych informacji. Ze względu na konieczność zachowania poprawności działania samej aplikacji kompresja dokonywana jest na pojedynczym strumieniu danych jednocześnie. • Deduplikacji symetrycznej – AAM realizuje mechanizm deduplikacji przed wprowadzeniem kompresji danych. Dzieje się tak, gdyż system 45 ROZWIĄZANIA aplikacji. Taką porcję danych zapisuje na własnych zasobach i po otrzymaniu odpowiedniego zapytania samodzielnie udziela odpowiedzi. Dzięki temu wprowadzone jest zdecydowanie mniejsze opóźnienie w transmisji oraz serwery aplikac yjne s ą w mniejsz ym st opniu obciążone. Użytkownicy aplikacji nie są w żadnym stopniu świadomi takiej pracy systemu, a jej wynik pozwala podnieść jakość z samej pracy z aplikacją. Proxy Rys. 2. BIG-IP AAM Policy Editor. F5 musi mieć pewnoś ć , że taka porcja danych nie została już wcześniej przesłana do klienta. W sytuacji, w której pojawia się powtórzenie F5 A AM usuwa te dane z samego pakietu. Zdecydowanie ogranicza to ilość danych, które trafiają do silnika kompresującego, a konsekwentnie ilość danych wysyłanych klientowi. Polityki akceleracji Polityki akceleracji to zbiór określonych reguł, które definiują jak system BIG-IP obsługuje konkretne żądania HT TP i odpowiedzi. Rozwiązanie wykorzystuje do tego celu dwa typy reguł: matching rules oraz acceleration rules. Pierwsze z nich matching rules są używane do odpowiedniej klasyfikacji żądań HTTP na podstawie typów obiektów i odpowiedniego przypisania sesji do konkretnej polityki akceleracji. Po poprawnym dopasowaniu BIG-IP AAM obsługuje ruch zgodnie z zaimplementowanym w acceleration rules schematem. Zależnie od specyfiki aplikacji informacje zawar te w pakiecie HTTP Request mogą pociągnąć za sobą jeden typ odpowiedzi (na przykład rozszerzenie pliku .jsp), w sytuacji której 46 faktyczna odpowiedź jest zupełnie inna (na przykład plik z dokumentem). By prawidłowo okre ślić rzec zywistą komunikację system BIG-IP weryfikuje ruch z matching policy dwukrotnie: pierwszy raz dla HTTP Request oraz drugi raz dla HTTP Response. Oznacza to, że żądanie oraz odpowiedź mogą zostać dopasowane do dwóch różnych acceleration rules. Wprowadza to znacznie większe możliwości w sytuacji, gdy aplikacja ma niejednolity charakter. Gwarantuje nam to prawidłowe zakwalifikowanie ruchu oraz jego obsługę zgodnie ze stowarzyszonymi z nim regułami. Zapisywanie w pamięci podręcznej W celu optymalizacji pracy aplikacji BIG -IP A A M potrafi zapisywać w swojej pamięci podręcznej pewne elementy odpowiedzi generowane przez same serwery aplikacyjne. Sam system F5 mając dostęp do komunikacji między klientem i serwerem potrafi zaobserwować najczęstsze żądania użytkowników. Wynikiem takiej analizy statystycznej jest oznac zenie konkretnych danych ja ko p opula r nyc h o dp owie d z i Integrujemy przyszłość® W domyślnej konfiguracji system BIG-IP podejmuje próbę zapisania i obsługi w swojej lokalnej pamięci podr ę c znej wszystkich zapyt ań HT TP. Jeżeli z pewnych przyczyn, jak na przykład polityka korzystania z aplikacji lub regulacje zewnętrzne, dla niektórych porcji danych nie chcemy tego robić, to istnieją opcje konfiguracyjne reguł dotyczących proxy. Za ich pomocą identyfikujemy zapytania HT TP, które mają zostać bezpośrednio przekazane do serwera aplikacyjnego. Dodatkowo możliwe jest zdefiniowanie z poziomu A AM proxy dla konkretnego serwera. Za pomocą opcji konfiguracyjnej Always proxy requests for this node jesteśmy w stanie zapewnić przekazywanie zapytań i odpowiedzi bez zapisywania w pamięci podręcznej zawartości danej sesji. Akceleracja System BIG-IP posiada szereg wbudowanych mechanizmów akcelerujących pracę chronionej aplikacji. Zgodnie ze zdefiniowanymi w systemie politykami możliwe jest dostarczanie zawartości stron aplikacyjnych w bardziej wydajnej formie. Rozumie się przez to kompresję danych wymienianych pomiędzy serwerem a klientem oraz optymalizację wysyłanych zawartości Numer: IV/2014 (130) Rys. 3. Akceleracja pracy aplikacji. w miejscach, gdzie tylko to możliwe. Całość pracy systemu ma na celu poprawienie odczuwalnej jakości pracy z aplikacją przy jednoczesnym zachowaniu pełni jej funkcjonalności. Dzięki temu uzyskujemy zdecydowanie szybszy czas reakcji aplikacji odczuwalny przez jej klienta oraz ograniczamy zużycie pasma. Schemat działania zilustrowany jest na rysunku 3. Do obiektów będących elementem zawartości aplikacji, które możemy akcelerować z pewnością można zaliczyć: 1. Cascading Style Sheet (CSS) oraz skrypty JavaScript. Realizowane jest to poprzez poprawę zdolności przeglądarek internetowych do renderowanie otrzymywanych zawartości. A AM ogranicza rozmiar oraz liczbę pakietów związanych z elementami graficznymi (CSS) oraz wbudowanymi w stronę skryptami. Wykonuje to w oparciu o konkatenację oraz tzw. inlining (usunięcie znaków końca linii). Dodatkową opcją konfiguracyjną jest minimalizacja zawartości, która eliminuje niepotrzebne spacje, komentarze oraz znaki specjalne. 2. Pliki PDF. Duże pliki PDF potrafią spowodować relatywnie spore opóźnienie w wyświetleniu pełni zawartości strony. Dzieje się tak dlatego, że przed uzyskaniem dostępu do samej strony cały plik PDF musi zostać pobrany. BIG-IP AAM potrafi przyspieszyć ten proces wykorzystując do tego celu linearyzację (optymalizację). Linearyzacja plików PDF pozwala na ich konwersję do formy bajtowej, dzięki czemu użytkownik aplikacji odnoszący się do konkretnych zasobów dokumentu otrzymuje jedynie interesujące go informację, a nie całość pliku. 3. Obrazki. A A M posiada opcję w konfiguracji, która umożliwia optymalizację obrazów. Pozwala to na zdecydowane ograniczenie ich rozmiaru między innymi poprzez usunięcie zbędnych metadanych, zmianę formatu oraz podniesienie poziomu kompresji. Funkcjonalność ta znajduje bardzo szerokie zastosowanie w różnego rodzaju aplikacjach mobilnych, w których śmiało zastosować można elementy obrazu o niższej rozdzielczości bez wyraźnego ograniczenia jakości prezentowanych treści. Formaty, do których możliwa jest konwersja obrazów to: • JPEG (z opcją wyboru stopnia kompresji), Biuletyn Informacyjny SOLIDEX® • GIF (rekomendowane przez F5 stadia jakości), • PNG (z opcją redukcji do określonej liczby kolorów), • TIFF (rekomendowane przez F5 stadia jakości). Zarządzanie ruchem HTTP Application Acceleration Manager posiada funkcjonalność zarządzania ruchem HT TP w oparciu o profile. Pierwszym z nich jest BIG-IP Acceleration SPDY Profile, natomiast drugim jest profil dla ruchu HTTP 2.0. Jednak ze względu na fakt, iż pełna specyfikacja HTTP 2.0 znajduje się obecnie w fazie draftu (numer 12), firma F5 Networks traktuje tę funkcjonalność jako eksperymentalną. Wykorzystanie profili wprowadza zdecydowaną redukcję opóźnień zapytań http poprzez multipleksowanie strumieni ruchu oraz zastosowanie kompresji nagłówków. Odnosząc się do wykorzystania możliwości SPDY, sama konfiguracja po stronie urządzenia F5 jest niezwykle prosta. Poprzez przypisanie profilu SPDY do wirtualnego serwera, sam serwer informuje klientów aplikacji, że posiada możliwość pełnej obsługi 47 ROZWIĄZANIA zapytań typu SPDY. Zasada działania została przedstawiona w poniższych punktach: 1. Gdy klient wysyła zapytanie http, zdefiniowany wirtualny serwer (z przypisaną odpowiednią iRule) obsługuje zapytanie jako standardową sesję http. 2. Podczas przesyłania zapytania z A A M do ser wera, system F 5 umieszcza w nagłówku informację, że dostępna jest obsługa za pomocą protokołu SPDY. 3. BIG-IP po otrzymaniu odpowiedzi z serwera kompresuje ją, zapisuje w pamięci podręcznej oraz wysyła ją do klienta. 4. Klient, którego oprogramowanie wspiera protokół SPDY generując następne zapytanie korzysta już z protokołu SPDY. 5. System BIG-IP dokonuje konwersji zapytania SPDY na zapytanie http i przekazuje do serwera aplikacyjnego. 6.Odpowiedź serwera aplikacyjnego jest następnie ponownie konwertowana do postaci zgodnej ze standardem SPDY. Intelligent Browser Referencing Forward Error Correction (FEC) Kolejną funkcjonalnością godną uwagi jest mechanizm F5 zwany Intelligent Browser Referencing (IBR). Ta opcja konfiguracyjna pozwala na poprawę wydajności przeglądarki internetowej, z której korzysta klient aplikacji. Narzędzie to pozwala na zredukowanie liczby zapytań kierowanych do samej strony internetowej, które dotyczą elementów statycznych, takich jak obrazki czy też pliki ze stylami CSS. Realizowane jest to z wykorzystaniem pamięci podręcznej samej przeglądarki. System BIG-IP Application Acceleration Manager posiada wbudowane mechanizmy realizujące Forward Error Correction (FEC). Dokonywane jest to przez dodanie redundantnych informacji do transmitowanych danych aplikacyjnych. FEC zapewnia korekcję b łę dów dla ka żdego protoko ł u opartego na IP. Taka metoda zapewnienia poprawności transmitowanych danych jest preferowana wobec mechanizmów retransmisji stosowanych przez protokół TCP. Rys. 4. Schemat działania FEC. Rys. 5. Architektura wdrożenia F5 LTM wraz z modułem AAM. 48 Integrujemy przyszłość® Numer: IV/2014 (130) Implementacja FEC prezentuje się w następujący sposób. System BIG-IP agreguje pewną liczbę pakietów w zdefiniowanym czasie. Następnie dzieli zawartość na określoną liczbę pakietów o równym rozmiarze (source packets w numenklaturze F5) oraz dodaje odpowiednią liczbę pakietów redundantnych, które mają zapewnić korekcję błędów wprowadzonych przez szum w kanale transmisyjnym. Sam system korekcji potrafi w pełni zaadaptować się do środowiska komunikacyjnego. Oznacza to, że BIG-IP stale monitoruje stopę błędu na ścieżce łączącej go z klientem aplikacji. Pozwala to na dynamiczne manipulowanie narzutem dodawanym do informacji aplikacyjnych. F5 Networks pozwala również cieszyć się pełnym zestawem możliwości pozostałych zaimplementowanych modułów w pełnej integracji. Dzięki temu oprócz akceleracji samej aplikacji oraz ograniczenia pasma sieciowego zyskujemy również: • Równoważenie obciążenia poprzez serwery w puli; • Inteligentny routing; • SSL Offloading; • Możliwości programowe związane z wykorzystaniem iRules. Podsumowanie W bieżącym świecie ruch sieciowy stale wzrasta, zarówno w kategorii liczby jak i rozmiaru przesyłanych zapytań. W konsekwencji wymagania na pasmo sieciowe również stale rosną. Integracja z BIG-IP LTM Staje się to ogromnym problemem dla Application Acceleration Manager organizacji udostępniających pewne jest kolejnym modułem możliwym usługi sieciowe czy aplikacje. Muszą do uruchomienia na platformie sprzę- one z niezwykłą starannością dbać towej F5 BIG-IP. Instalacja AAM jako nie tylko o swoje centra danych, ale kolejnego komponentu w architekturze również mieć na uwadze jakość aplikacji wystawianych swoim użytkownikom. Wszystko to sprawia, że kolejnym kryterium sukcesu staje się optymalizacja pracy aplikacji, a co za tym idzie optymalne wykorzystanie zasobów z nią współpracujących. Firma F5 Networks posiada w tej materii gotowy przepis na sukces. Wykorzystanie pełni możliwości modułu Application Acceleration Manager rozwiązuje wiele problemów i jednocześnie pozwala działom IT spać spokojnie ze świadomości, że ich aplikacja jest dostarczana w bezpieczny, niezawodny oraz optymalny sposób. Opracowano na podstawie oficjalnych materiałów producenta. M.M. Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 51 49 Warsztaty Check Point Next – Generation Firewall R76 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R76. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami – IPS, Content Security, Integracja z ActiveDirectory – budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.SOLIDEX.com.pl/oferta/warsztaty Integrujemy przyszłość® Autoryzowane szkolenia Autoryzowane Szkolenia Cisco System Program SOLIDEX® ICND1 ICND2 CCNAX ROUTE SWITCH TSHOOT BGP MPLS QOS IINS SENSS SITCS SISAS SIMOS SASAA SASAC SWISE ACS SASSL SISE ICOMM CVOICE WMNGI CUWN CIPT1 CIPT2 CWLMS IP6FD IUWNE DESGN ARCH IPS SAEXS Interconnecting Cisco Network Devices Part 1 Interconnecting Cisco Network Devices Part 2 Interconnecting Cisco Networking Devices: Accelerated Implementing Cisco IP Routing Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks Configuring BGP on Cisco Routers Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Implementing Cisco Edge Network Security Solutions Implementing Cisco Threat Control Solutions Implementing Cisco Secure Access Solutions Implementing Cisco Secure Mobility Solutions Implementing Advanced Cisco ASA Security Implementing Core Cisco ASA Security Implementing Cisco Identity Services Engine for Wireless Engineers Implementing Cisco Secure Access Control System Managing Advanced Cisco SSL VPN Implementing and Configuring Cisco Identity Services Introducing Cisco Voice and Unified Communications Administration Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs Cisco Unified Wireless Networking Implementing Cisco Unified Communications Manager Part 1 Implementing Cisco Unified Communications Manager Part 2 Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment Implementing Cisco Unified Wireless Networking Essentials Designing for Cisco Internetwork Solutions Designing Cisco Network Service Architectures Implementing Cisco Intrusion Prevention System Cisco ASA Express Security Infolinia: 800 49 55 82 Kraków Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944 Redakcja: SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] Oddano do druku: listopad 2014 Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli. www.integrator.SOLIDEX.com.pl