Integrator Review Wydanie Jubileuszowe

Komentarze

Transkrypt

Integrator Review Wydanie Jubileuszowe
WYDANIE JUBILEUSZOWE
KWIECIEŃ 2010
BIULETYN INFORMACYJNY SOLIDEX
PLATINUM CHANNELCONNECT PARTNER
Spis treści
5
Wstęp
8
Wyścig z technologią ... na świecie
9
Switching czy routing?
11
Realizacja sieci wirtualnych w oparciu o sprzęt i oprogramowanie Cisco
15
Techniczne aspekty bezpieczeństwa sieci komputerowych
18
SSH - nowa era bezpiecznych połączeń?
21
Protokół IPSec - bezpieczeństwo w Internecie
24
Praktyczne zastosowania silnej autentykacji
27
Rewolucja Internetowa?
30
ContactCenter - wielomedialny kontakt z klientem
34
Usługi katalogowe - proces wdrożenia
40
Bezpieczeństwo pamięci masowych - storage security
43
Odpowiedzialność zawodowa informatyków i w informatyce
46
Rozliczanie usług typu prepaid w oparciu o SOLIDEX.callnet
49
System zarządzania treścią SmartContent
53
Produkty WebService: more:multinetR.CBSG
55
Kompendium wiedzy o load balancingu oraz omówienie
load balancerów firmy Cisco, Juniper i F5
63
Cisco NAC Appliance i jego możliwości
68
Innowacja w zabezpieczeniu danych - Cisco GET VPN
74
Guest networking - realizacja dostępu gościnnego w sieciach
78
Przegląd rozwiązań mobilnych w świecie UC
© SOLIDEX, 2010
20 lat SOLIDEX
Wstęp
Oddajemy do Państwa rąk okolicznościowy numer „Integratora” związany z 20-leciem istnienia firmy SOLIDEX. Prezentujemy w nim 20
artykułów pochodzących z poprzednich wydań naszego pisma. Ta swoista „historyczna podróż” pozwoli spojrzeć na przemiany jakie
dokonywały się w technologiach, które SOLIDEX wdrażał wraz ze swymi Klientami. Staraliśmy się zaprezentować wybór artykułów
ciekawych i jednocześnie pokazujących przegląd zagadnień z jakimi mieliśmy do czynienia. Znamienne jest to, że szereg tematów nie traci
na aktualności. Niektóre powracają w zmienionej nieco formie, można powiedzieć „odmłodzone” nowymi osiągnięciami techniki. Cały
czas jesteśmy świadkami przemian, które towarzyszą nam od 20 lat. Współdziałając z Klientami oraz dostawcami technologii staramy się
tworzyć optymalne rozwiązania dobierając właściwe narzędzia i technologie stosownie do problemów i potrzeb Klientów. Mamy nadzieję,
że nasze propozycje zyskają zainteresowanie naszych Klientów i będziemy wspólnie tworzyć historię kolejnych lat SOLIDEXu.
„Dwie dekady SOLIDNego Integratora”
20 lat minęło…
Trudno oprzeć się nutce refleksji a nawet nostalgii i melancholii zatrzymując się na okrągłych datach. Taką datą niewątpliwie jest 20
rocznica powstania SOLIDEXu. To naprawdę kawał czasu. 20 lat temu nie przypuszczaliśmy, dokąd zawiedzie nas historia. Były w
minionych 20 latach chwile wzlotów i być może mniejszych lub większych upadków, chwile chwały i zwątpienia. Nie popadajmy
jednak w patos – nie mnie oceniać doniosłość zdarzeń, bo chociaż byłem ich świadkiem, to nie jestem ich badaczem. Zostawmy tę
kwestię kronikarzom i historykom. Zatrzymując się tylko nad niektórymi wydarzeniami, spróbuję prześledzić losy firmy na tle nowej
rewolucji technologicznej, na okres której przypada jej historia.
Historia zaczyna się paradoksalnie nie od istotnych faktów technologicznych ale od zmian polityczno-ustrojowych w Polsce. Dały one
szansę rozwoju indywidualnej myśli, zaangażowania i przedsiębiorczości. Bez tych zmian z całą pewnością nie byłoby dziś SOLIDEXu.
Pomijając szereg zbiegów okoliczności i szczęśliwych zdarzeń, które mocno wpłynęły nie tylko na początki ale i dalszy rozwój firmy,
postaram się skupić jedynie na technologiach i historii rozwiązań technicznych jakie obserwowaliśmy w minionych 20 latach.
Początki
Pierwsze lata funkcjonowania firmy to zachłyśnięcie się „technologiami zachodu”. Po dość siermiężnym w tym względzie okresie
lat 70 i 80 mogliśmy doświadczać obecności tych nowoczesnych wytworów technologii „zachodu” nie tylko na zdjęciach, opisach,
czy tłumaczonych z języków obcych fachowych książkach. Fakt ten obecny był nie tylko w branży informatycznej – dotyczył
również bardzo wielu innych dziedzin nauki, techniki i życia codziennego. Niech w pewnym sensie znamienny będzie fakt, że
© SOLIDEX, 2010
5
ja osobiście po 5 latach studiów informatycznych miałem po raz pierwszy, już jako absolwent uczelni technicznej, możliwość
własnoręcznie montować połączenia światłowodowe legendarnej technologii FDDI. Rozdźwięk, niemal przepaść technologiczna
jaka dzieliła wówczas Polskę od krajów Europy Zachodniej oraz USA decydowały o tym, że nasza działalność skupiała się na
naśladowaniu i próbach doścignięcia tych wzorców. Nikt nie analizował roli jaką rozwiązania te będą odgrywały w przyszłości, czy
są rozwojowe i jakie niosą ze sobą ograniczenia. Wystarczyło proste stwierdzenie: „oni tak mają, to my też powinniśmy”. Wobec
wspomnianej ogromnej różnicy poziomu dostępnych rozwiązań takie podejście było nie tylko usprawiedliwione ale również
skuteczne. W taki oto sposób znalazły swoje miejsce w Polsce rozwiązania takie jak Ethernet czy TokenRing w sieciach LAN, FDDI
w sieciach kampusowych i miejskich, stacje graficzne Sun czy SGI na wybranych stanowiskach pracy w firmach i uczelniach czy
serwery sieciowe dysponujące ogromnymi na ówczesne czasy zasobami dyskowymi 2-10GB.
Sieć rozległa – a co to takiego?
Kolejnym istotnym z technologicznego punktu widzenia etapem rozwoju było rozpowszechnienie komputerowych sieci rozległych.
Wobec braku praktycznych doświadczeń wykraczających poza transmisję modemową pomiędzy dwoma komputerami, nie
mieliśmy dowodów na skuteczne działanie sieci WAN większej skali. Dobrze pamiętam wielogodzinne dyskusje z Klientami na
temat możliwości zastosowania rozwiązań, które pozwolą komunikować się komputerom, do których modemy nie będą fizycznie
podłączone i w ten sposób zbudować sieć rozległą. Wobec znanych z praktyki problemów z łączami i jakością transmisji, prawie
wszyscy poddawali w wątpliwość możliwość zbudowania takiej sieci: „przecież to niemożliwe, żeby ten plik udało się przesłać bez
błędów; my zawsze po takiej transmisji dzwonimy i sprawdzamy, czy plik udało się przesłać bez błędów; może w Stanach takie
rozwiązania działają, ale nie w Polsce…”. Jak miało się szybko okazać, w Polsce również te rozwiązania zadziałały.
Szlagierem rynkowym stały się sieci X.25 i rozwiązania umożliwiające ich wykorzystanie do połączenia ze sobą odległych sieci
LAN. Poważnym problemem ówczesnych lat była mnogość protokołów sieciowych: DecNet, IP, XNS, IPX, AppleTalk, Apollo
Domain, Banyan VINES, SNA, LAT – do wyboru do koloru. Tyle, że wcale kolorowo nie było. Ta swoista „wieża Babel” protokołów
komunikacyjnych wprawiała w zakłopotanie nie tylko użytkowników ale również fachowców. Większość wspomnianych
rozwiązań miała swoich firmowych „sponsorów”, którzy za wszelką cenę usiłowali udowodnić, że ich protokół jest najlepszy.
Ciekawym zjawiskiem było oczekiwanie ze strony użytkowników, że firma taka jak SOLIDEX dostarczy rozwiązanie automatycznie
tłumaczące transmisję pomiędzy różnymi protokołami. I na niewiele się zdawało tłumaczenie, że takich translatorów nie ma i
nie będzie, że protokoły sieciowe są w większości rozwiązaniami prywatnymi firm, które te protokoły opracowały, że… Miało
być tłumaczenie i już.
Internet
„słowo to zrobiło w ostatnich czasach oszałamiającą karierę…” (jeśli ktoś pamięta skecze „Spoko spoko stara, to ja, twój Niezależny” z
programu 3 PR z lat osiemdziesiątych minionego wieku). Zanim jednak tę karierę zrobiło, zaczęło się nader skromnie (z dzisiejszego
punktu widzenia) od poczty elektronicznej i grup dyskusyjnych Usenet. Stopniowo świat mnogich protokołów komunikacyjnych
zmierzał do jednego wspólnego języka – protokołu TCP/IP. Nawet giganci tacy jak Microsoft po okresie sceptycznego traktowania
tego wojskowo-akademickiego wynalazku przekonali się, że nie opłaca się iść pod prąd. Rosnąca rzesza użytkowników i firm
dostarczających otwarte i zestandaryzowane rozwiązania przyczyniła się do sukcesu protokołu IP, o którym pewnie jego twórcy
nawet nie śnili. Technologicznym kamieniem milowym w rozwoju sieci Internet stało się opracowanie standardu HTML i protokołu
http pozwalających znacznie wygodniej korzystać z zasobów tej światowej sieci. Od tego momentu sieć Internet rozpoczęła
transformację od rozwiązania stricte komunikacyjnego do infrastruktury informacyjnej sięgającej niemal wszystkich dziedzin
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
6
20 lat SOLIDEX
życia. Podstawy sukcesu Internetu to standaryzacja technologii, otwartość dostępu do sieci i rzesze aktywnych użytkowników
korzystających z informacji w sieci zawartych i zarazem tworzących tę zawartość. Współczesny Internet to bardziej zjawisko
socjologiczne niż technika; poza niewątpliwymi zaletami wprowadza również zagrożenia: uzależnienia od sieci, cyberprzestępstwa,
naruszanie własności intelektualnej,… Jednakże raz wprawionego w ruch mechanizmu tego „perpetum mobile” XXI wieku nie
sposób zatrzymać. I nikt nawet nie próbuje, bo znacznie łatwiej i korzystniej wpisać się w ten ogólny nurt. Od czasu do czasu
odzywają się jedynie głosy „naprawiaczy świata” wołające o konieczność nałożenia na ten wirtualny świat regulacji prawnych,
ograniczeń, surowych sankcji – wszystko to w imię „dobra wspólnego”. Obserwując to co się w sieci dzieje można nad wyraz łatwo
znaleźć uzasadnienie dla tego typu pomysłów. Żadne regulacje prawne nie zastąpią jednak zdrowego rozsądku i indywidualnej
odpowiedzialności za własne czyny każdego z użytkowników. Bo myślenie i odpowiedzialność mają kolosalną przyszłość. Niestety
wrażenie anonimowości w sieci rozluźnia bariery obyczajów, samokontroli, zwalnia od myślenia. Stanisław Lem powiedział „Dopóki
nie skorzystałem z Internetu, nie wiedziałem, że na świecie jest tylu idiotów”. Myślmy zatem, i bierzmy odpowiedzialność za nasze
czyny, również te w świecie wirtualnym, by własnym postępowaniem nie przyczyniać się do namacalnego dowodu tezy klasyka.
A tak nawiasem mówiąc, to nie udało mi się w Internecie znaleźć skeczy o Niezależnym, więc to nieprawda, że w Internecie jest
wszystko, albo jeśli jest wszystko, to niestety nie wszystko można odnaleźć.
Upływ czasu w rozwiązaniach informatycznych
Od wielu pokoleń przywykliśmy mierzyć czas w sekundach, godzinach, dniach i latach. To nasze „liniowe” postrzeganie czasu
niestety nie bardzo przystaje do oceny „wiekowego zaawansowania” rozwiązań w informatyce. Obserwowane zmiany i postęp w
minionych 20 latach skłaniają raczej do rozważenia zastosowania jakiejś logarytmicznej skali czasu. Upływ czasu w rozwiązaniach
informatycznych mógłby być mierzony nie w sekundach, godzinach i latach, lecz w megabitach/s dostępnych w sieciach, których
używamy. W taki to sposób moglibyśmy podzielić historię sieci komputerowych na kolejne dziesiątki megabitów na sekundę:
1Mbps, 10Mbps, 100Mbps, Gbps, 10Gbps. Dokąd zawiedzie nas ta skala w przyszłości ? Pewnie będziemy jeszcze świadkami
kolejnych „dekad” tej historii, bo to co dziś wydaje się odległe i nieprzewidywalne w liniowej skali czasu, w skali logarytmicznej jest
znacznie bliżej nas.
Jaka czeka nas przyszłość?
Jedyną pewność jaką dziś mamy, to pewność zmian. Przypisywane Heraklitowi powiedzenie „panta rhei kai ouden menei”
sprawdza się po dzień dzisiejszy (może nawet jego obrazowa rzeka płynie jeszcze szybciej). Poddajemy się mimo woli powodzi
zupełnie „nowych nowości”, nie zawsze zdając sobie sprawę, że wiele z tych nowinek to w istocie powtórnie wprowadzane w
życie, „odmłodzone” stare koncepcje i pomysły. Bo współczesna informatyka to nie tylko technika ale również marketing. Może
przede wszystkim marketing. Takie są losy wynalazku: od fascynata - wynalazcy lub grona uczonych fachowców, do masowej
sprzedaży ze świątecznymi promocjami w supermarketach. Ulegając tej potędze marketingu zbyt łatwo przypinany różnym
rozwiązaniom etykietki „naj…”, zanim praktyka zweryfikuje faktyczną ich przydatność. Rzeczywista trudność polega na tym,
aby w tym morzu „nowych nowości” odnaleźć te faktycznie innowacyjne, stanowiące realną wartość, a nie tylko posiadające
atrakcyjne opakowanie. Z nadzieją spoglądamy w przyszłość. Podstawą tej nadziei jest bagaż 20 lat doświadczeń oraz wiedza
i zaangażowanie ludzi tworzących firmę. W kolejnych latach będziemy starać się sprostać standardom uczciwości, rzetelności i
solidności wyznaczonymi przez dotychczasową historię firmy.
Henryk Michalec
Dyrektor ds. Rozwoju Technologicznego SOLIDEX
© SOLIDEX, 2010
7
Wyścig z technologią ... na świecie
Artykuł z Nr 1/1994 (1)
Gwałtowny, praktycznie niekontrolowany rozwój Internetu na świecie i wzrost ilości dostępnych usług uczynił
tą sieć praktycznym środkiem komunikacji nie tylko dla środowisk akademickich i naukowo-badawczych,
ale także dla zastosowań komercyjnych. Wchodzące w powszechne użytkowanie techniki multimedialne są
również motorem rozwoju technologii sieci komputerowych w zakresie połączeń międzysieciowych oraz dla
końcowego użytkownika.
Ostatnie kilkanaście miesięcy na światowym rynku to okres dynamicznych
zmian technologii oferowanych komercyjnie dla budowy nowoczesnych sieci
LAN, MAN i WAN i zastosowań „klientserwer”. Znaczny wkład w ich dynamiczny rozwój mają dwaj uznani liderzy światowego rynku, partnerzy SOLIDEXu już od ponad trzech lat:
ƒƒ CISCO SYSTEMS (dotąd znany jako
największy producent routerów),
oraz
ƒƒ SUN Microsystems (twórca standardu klient-serwer i największy producent stacji roboczych).
SUN Microsystems wprowadził nowe
rodziny szybkich stacji roboczych i serwerów opartych o procesory microSPARC II oraz superSPARC+. W stacjach
roboczych serii 5 i 20 można zastosować
nowe typy akcelerowanych 24-bitowych kart graficznych S24 i SX, optymalizowanych pod kątem zastosowań multimedialnych. Przełamana została bariera cenowa ograniczająca powszechność
zastosowania stacji oraz bariera technologiczna pozwalając na sprawne wykorzystanie technik multimedialnych.
CISCO SYSTEMS, dotychczas znany z
technik wieloprotokołowego routingu poszerzył radykalnie swą ofertę w
dwóch kierunkach:
ƒƒ tanich węzłów dostępowych dla sieci rozległych,
ƒƒ szybkich technologii dla sieci lokalnych
(ATM, FDDI, Ethernet switching), zapewniających stanowiskom roboczym
komunikację z przepustowością rzędu
100 Milionów bitów na sekundę.
Nowa technologia CISCO o nazwie CiscoFusion pozwala na efektywne łączenie stanowisk roboczych w standardach ATM, FDDI czy Ethernet, switching oraz integrację z sieciami rozległymi pod ujednoliconą kontrolą międzysieciowego systemu operacyjnego zwanego CISCO IOS (Internetworking Operating System) i implementacje konceptu „Virtual LAN”.
Wzrost zapotrzebowania na techniki
multimedialne spowodował „przyspieszenie technologiczne” wśród czołowych producentów - oprócz ATM na rynek wchodzą inne techniki switchingu,
a koncept „Virtual LAN” (oparty o równoległy routing i switching) pozwoli odetchnąć administratorom dużych
sieci.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
8
20 lat SOLIDEX
Switching czy routing?
Artykuł z Nr 3/1995 (3)
Komunikacja pomiędzy sieciami lokalnymi jest najistotniejszym czynnikiem decydującym o efektywności
i niezawodności pracy sieci. Istnieje kilka metod realizacji takich połączeń. Pierwszą a zarazem najprostszą
z nich jest bridging. Metoda ta jest obecnie wykorzystywana głównie do łączenia segmentów małych sieci
lokalnych. Ze względu na brak możliwości zabezpieczenia dostępu do sieci i separacji ruchu typu broadcast i
multicast w większych strukturach sieciowych, bridgingu nie stosuje się.
Najczęściej stosowaną obecnie metodą
komunikacji międzysieciowej jest routing. Ostatnio coraz większe znaczenie zyskuje również switching, w szczególności do budowy szybkich połączeń lokalnych w ramach kampusu czy
sieci LAN. Technologia ta staje się również dostępna dla sieci MAN i WAN.
ków są przywiązane do fizycznej infrastruktury sieci. Kiedy następują zmiany w organizacji instytucji lub zmiany
lokalizacji grup roboczych czy ich części, muszą być dokonane modyfikacje
sprzętowe (inne połączenia kablowe,
interfejsy sieciowe, itp.) i zmiany adresacji urządzeń w sieci.
Routery pracując w 3 warstwie modelu ISO OSI, wykorzystują bardzo zaawansowane techniki sprzętowe i programowe. Umożliwiają dzięki temu łączenie ze sobą różnorodnych sieci LAN,
takich jak: Ethernet, Token Ring, FDDI i
ATM oraz pozwalają budować struktury sieci rozległych (WAN) wykorzystujące różne media i technologie połączeń (point-to-point, X.25, Frame Relay, SMDS, ISDN, itd.) Routery pracując
na poziomie 3 modelu OSI (poziom adresów logicznych) znoszą ograniczenia i niedogodności związane z zastosowaniem bridgy. Sieć wykorzystująca routery zapewnia optymalne drogi
przesyłania pakietów dzięki zastosowaniu protokołów dynamicznego routingu takich jak IGRP, Enhanced IGRP, czy
tez OSPF. Zalety związane z wykorzystaniem routerów spowodowały gwałtowny rozwój sieci komputerowych.
Obecnie, sieci dużych instytucji, w których pracuje np. 1000 routerów firmy
CISCO, nie są rzadkością. Umożliwiają
one sprawną wymianę informacji i dostęp do zasobów tysiącom użytkowników komputerów.
Ostatnio jako alternatywę lub uzupełnienie dla routingu coraz częściej stosuje się metodę switchingu. Metoda ta
pozwala na polepszenie parametrów
sieci, jej przepustowości i skalarności
w sposób znacznie tańszy i zwykle nie
mniej efektywny niż routing, dając jednocześnie możliwości realizacji wirtualnych połączeń, uniezależniając w ten
sposób logiczną i fizyczną strukturę
sieci. Obecnie switching rozwija się w
dwóch kierunkach:
ƒƒ Frame Switching
ƒƒ Cell Switching
Jedynym mankamentem sieci budowanych z wykorzystaniem routerów
jest fakt, iż grupy robocze użytkowni-
Frame Switching
Metoda ta polega na switchingu ramek
o zmiennej długości (np. Ethernet, Token Ring). Głównym zadaniem switchingu ramek jest ograniczenie zbędnego ruchu w sieci oraz zwiększenie
możliwości komunikacyjnych w jej obrębie poprzez zastosowanie techniki
mikrosegmentacji.
Mikrosegmentacja sieci polega na podziale jej użytkowników na grupy robocze (zazwyczaj budowane w oparciu o pojedynczy segment sieciowy),
z których każda posiada dedykowane pasmo przepustowości. Ramki są
przesyłane przez sieć zgodnie z ustalo-
ną ścieżką od stacji nadawczej do stacji
odbiorczej. Operacja ta jest podobna
jak w technice bridgingu oprócz ruchu
typu broadcast i multicast. Ramki broadcast/multicast są przesyłane tylko do
portów należących do tej samej sieci
logicznej, a nie do wszystkich portów.
Ruch pomiędzy sieciami logicznymi
jest regulowany przez urządzenia routerowe. Urządzenia realizujące switching ramek pracują w 2 warstwie modelu OSI ISO.
Typowym przykładem takiego switchingu jest Ethernet switching, który
zapewnia m.in.:
ƒƒ pełną prędkość transmisji 10 Mbps
ƒƒ administrację wieloma sieciami logicznymi
ƒƒ równoległe i redundantne połączenia.
Technika taka pozwala na znaczne polepszenie parametrów sieci przy bardzo małych nakładach, gdyż nie wymaga instalacji nowych interfejsów w stacjach czy routerach.
Cell Switching
Ten rodzaj switchingu operuje na ramkach o stałej długości. Przykładem takiej technologii jest ATM (Asynchronous Transfer Mode). Każda informacja
(dane, video, fonia) musi być „enkapsulowana” (odpowiednio dzielona i pakowana) w ramkę ATM. Technika taka pozwala na obsługę aplikacji działających
w czasie rzeczywistym (multimedia),
zapewniając większą skalowalność i
efektywność urządzeń.
© SOLIDEX, 2010
9
Cechy switchingu
Obydwie przedstawione metody switchingu cechuje duża skalowalność oraz
możliwość budowy zarządzalnych sieci
wirtualnych. Przepustowość sieci opartych na switchach można prawie dowolnie dostosowywać do wymogów użytkowników. Zwiększenie ilości portów na
switchu pociąga za sobą konieczność
zwiększenia jego przepustowości.
munikację pomiędzy wieloma segmentami sieci. Ze względu na małą ilość stacji w
danym segmencie zmniejsza się również
czas dostępu do medium. Dla realizacji tej
techniki, idealnym wydaje się switching.
Pozwala osiągnąć cel za pomocą nieporównywalnie mniejszych kosztów niż router, dając jednocześnie znacznie większe
możliwości zarządzania i sterowania ruchem w sieci niż bridge.
Kolejną bardzo istotną cechą switchingu jest możliwość tworzenia sieci wirtualnych (Virtual Networks, Virtual LAN).
Sieci wirtualne pozwalają na uniezależnienie logicznej topologii sieci od jej fizycznej topologii. Stacje należące do jednej wirtualnej sieci mogą być rozproszone po całym kampusie, natomiast dostęp
do nich odbywa się tak jakby należały do
jednego wspólnego segmentu sieci LAN.
Sieci wirtualne
Aby sprostać coraz większemu zapotrzebowaniu na przepustowość w sieciach
komputerowych wielu projektantów
rozważa wykorzystanie nowych technologii. Podstawowe nadzieje wiąże się z
technologią ATM (Asynchronous Transfer Mode), która obiecuje bardzo duże
szybkości przesyłania informacji oraz
możliwość przesyłania danych, obrazu i
dźwięku. Drugą podstawową, coraz częściej wykorzystywaną technologią, jest
technologia FDDI lub CDDI. Trzecia to
tzw. LAN switching, który umożliwia komunikację między dwoma urządzeniami sieci komputerowej z przepustowością standardu (np. Ethernet). Urządzenia
komunikujące się ze sobą nie dzielą przepustowości medium z innymi, zestawiając między sobą połączenie na potrzeby
własnej komunikacji.
Rozwiązanie to zwiększa elastyczność i
możliwość zarządzania ruchem w sieci.
Możliwości takie nie są dostępne w sieciach budowanych w oparciu o bridge
czy routery. Zwiększenie przepustowości tradycyjnej sieci polega na zwiększeniu prędkości pracy (Token Ring z 4
Mbps do 16 Mbps, Ethernet z 10 Mbps
do 100 Mbps). Rozwiązanie takie pociąga za sobą znaczne koszty związane z
medium transmisji oraz zmianę interfejsów we wszystkich stacjach.
Inną metodą na polepszenie parametrów
sieci jest jej podział na wiele segmentów z
kilkoma stacjami. Krańcowym, a zarazem
idealnym przypadkiem mikrosegmentacji będzie segment z jedną tylko stacją.
Technika taka zapewnia równoległą ko-
Wykorzystując technologię ATM do realizacji rdzenia sieci, technikę LAN switching do organizacji sieci lokalnych oraz
technologię routingu, mamy możliwość
budowy sieci komputerowych o nowych własnościach dotyczących przepustowości, realizacji grup roboczych
i technologii klient-serwer oraz zarzą-
dzania i ochrony sieci. W takim środowisku pojawia się możliwość realizacji tzw. „sieci wirtualnych” (Virtual LAN).
Przypomnijmy, że obecnie użytkownik
sieci należący do określonej grupy roboczej podłączony jest do tego samego koncentratora co inni przedstawiciele grupy (lub tego samego portu routera). Każdy koncentrator lub pojedynczy LAN umożliwiają komunikacje w obrębie grupy roboczej. Wszelkie zmiany w takiej strukturze wymagają zmian
okablowania (np. krosowanie połączeń
dla okablowania strukturalnego) oraz
zmian w adresacji sieci. Dla sieci wirtualnych zmiany logiczne sieci nie pociągają za sobą konieczności zmian fizycznej infrastruktury. Dzieje się to dlatego,
ze dany port switcha może być przypisany przez zmianę konfiguracji „softwarowej” do innej grupy roboczej.
Multilayer Switching
Pod tym terminem kryje się konglomerat
technologii switchingu i routingu działających w warstwie drugiej i trzeciej modelu OSI zapewniający realizację równolegle szybkiego przełączania ramek czy
komórek z możliwościami operowania
na ich zawartości dla dokonywania inteligentnych akcji niezbędnych dla podejmowania decyzji sterujących ruchem na
zasadach jak w mechanizmach routingu. Multilayer Switching jest technologią, która pozwala na łączenie różnych
standardów mediów i protokołów i ich
równoległego przesyłania z bardzo dużą
szybkością. Przykładem urządzeń realizujących wielowarstwowe przełączanie
jest prezentowany w Integratorze LightStream 2020 oraz Catalyst 5000.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
10
20 lat SOLIDEX
Realizacja sieci wirtualnych w oparciu o sprzęt
i oprogramowanie Cisco
Artykuł z Nr 10-11/1996 (18)
Postęp w dziedzinie sieci komputerowych w ostatnich latach objawia się dostępnością nowych
szerokopasmowych technologii (FastEthernet 100Mbps, ATM) oraz wprowadzaniem nowych koncepcji
wykorzystania sieci komputerowych w zastosowaniach multimedialnych (przesyłanie obrazów, filmów,
konferencje foniczne oraz video). Wobec wszechobecnego postępu rodzi się pytanie jak efektywnie
zagospodarować zasoby zgromadzone w już zainstalowanych sieciach. Czy dla nowych idei zastosowań sieci
konieczna jest kompletna wymiana instalacji sieciowych, sprzętu komputerowego oraz oprogramowania?
Ze względu na ogromną ilość sprzętu i
oprogramowania pracującego w sieciach
komputerowych na całym świecie, praktycznie niemożliwym jest dokonanie jego
kompletnej wymiany. Czynniki rynkowe
stawiają wymóg dla nowych rozwiązań
i technologii by ich wdrożenie oraz eksploatacja była możliwa w warunkach
zachowania inwestycji z lat ubiegłych.
Elementem pozwalającym sprawnie integrować nowe rozwiązania technologiczne oraz nowe idee eksploatacji sieci komputerowych z tradycyjnymi, wykonanymi kilka lat temu instalacjami sieciowymi jest technologia przełączania - switching. Switching w sieciach lokalnych pozwala zwiększyć efektywne pasmo transmisji dostępne dla indywidualnych komputerów lub ich grup, uzyskać sprawniejszy dostęp do współdzielonych zasobów
w sieciach oraz jest podstawą do realizacji logicznego podziału sieci na grupy robocze - zespoły użytkowników dzielących
wspólne zasoby i realizujących wspólne
zadania. Mechanizmem pozwalającym
realizować logiczny podział sieci na grupy
są sieci wirtualne (VLAN).
W dalszych rozważaniach skupimy się na
technologii Ethernet aczkolwiek większość
uwag oraz wniosków prezentowanych poniżej jest słusznych również dla innych technologii sieci LAN (np. Token Ring).
Klasyczne struktury sieci LAN
Klasyczne realizacje lokalnych sieci komputerowych bazują na technologii repeaterów lub bridge’y. Repeatery pozwa-
lają pokonać podstawowe ograniczenia odległościowe związane ze stosowaniem konkretnych technologii okablowania sieciowego. Charakterystyczne
dla sieci budowanych na repeaterach jest
propagowanie pakietów w całej strukturze połączeń fizycznych obejmujących
sieć LAN, czego skutkiem jest współdzielenie pasma transmisji przez użytkowników sieci LAN co obniża jej efektywność.
Całe pasmo transmisji, np. 10Mbps dla
technologii Ethernet, musi wystarczyć
dla wszystkich użytkowników - w związku z tym statystycznie na jednego użytkownika przypada fragment pasma, którego szerokość jest odwrotnie proporcjonalna do ilości użytkowników.
Sieci budowane na bridge’ach pozwalają
nie tylko pokonać ograniczenia odległościowe ale również dają możliwości separacji ruchu w sieciach. Technologia bridgingu, bazując na interpretacji adresów fizycznych MAC komputerów pracujących
w sieci, pozwala wyeliminować zbędne
przesyłanie pakietów do innych fragmentów sieci niż ten, w którym znajduje się
odbiorca pakietu. Technologia switchowanego Ethernetu pozwala efektywniej
zarządzać pasmem transmisji dostępnym
dla poszczególnych stanowisk. Switch
Ethernet z punktu widzenia sposobu interpretacji adresów docelowych zapisanych w poszczególnych pakietach jest de
facto wieloportowym bridgem. W stosunku do bridge’a posiada możliwości równoczesnego przesyłania pakietów pomiędzy
różnymi parami interfejsów, co w efekcie
podnosi ogólną przepustowość sieci.
Broadcasty w sieci LAN
Zarówno bridge jak też switche propagują pakiety broadcastowe (adresat tych
pakietów jest nieokreślony) oraz multicastowe (adresatem jest grupa urządzeń).
Przy wykorzystaniu pakietów broadcastowych realizowany jest szereg usług
sieciowych, zwłaszcza związanych z automatycznym kojarzeniem adresów warstwy trzeciej z adresami MAC (protokoły
Address Resolution Protocol - ARP) oraz
rozpoznawaniem serwerów oraz usług
w sieciach. W praktyce większość pakietów broadcastowych zawiera informacje istotne dla bardzo nielicznych stanowisk, np. pytanie ARP o adres MAC kierowane do komputera o określonym adresie sieciowym w warstwie trzeciej musi
być wysłane jako broadcast warstwy drugiej - odbiorcą takiej informacji jest jeden
komputer. Bardzo istotne znaczenie ma
fakt, że pakiety broadcastowe oraz multicastowe wymagają pełnej obsługi od
każdego komputera, tak jak pakiety do
niego adresowane - w sieciach o dużej
liczbie stanowisk powoduje to wzrost
obciążenia procesorów wszystkich komputerów dla obsługi zupełnie nieużytecznych zadań. W praktyce mamy stosunkowo niewielkie możliwości wpływania na ilość broadcastów w sieci LAN.
Częściowo ich ilość daje się ograniczyć
przez poprawne skonfigurowanie i odpowiednie dostrojenie oprogramowania
sieciowego komputerów. Dla większości przypadków ilość broadcastów w sieci zależy od rodzaju zastosowanego protokołu sieciowego warstwy trzeciej oraz
charakteru pracy oprogramowania. W
© SOLIDEX, 2010
11
konkretnych przypadkach przyjmuje się
założenia projektowe ograniczające ilość
komputerów zlokalizowanych w domenie broadcastowej zależne od wykorzystywanego protokołu warstwy trzeciej
oraz konfiguracji i rodzaju oprogramowania - ogólnie można stwierdzić, że liczba ta nie przekracza 500 stanowisk w jednym obszarze broadcastowym.
Bezpieczeństwo w sieciach LAN
Zarówno dla sieci budowanych w oparciu o repeatery jak też o switche lub bridge wspólną cechą jest przesyłanie pakietów do ich odbiorców bez możliwości sprawdzania kto jest nadawcą pakietu oraz jakie dane (jakie protokoły) przesyłane są w jego wnętrzu. Rezultatem tej
cechy jest możliwość dostępu do wszystkich zasobów (serwerów oraz świadczonych przez nich usług) zlokalizowanych
w sieci LAN co uniemożliwia wręcz konstruowanie mechanizmów ochrony danych i usług. Usługi dostępne w sieciach
są zwykle dedykowane dla konkretnych
użytkowników. Zasady dostępności usług
określane są przez odpowiedzialnych za
bezpieczeństwo danych pracowników firmy - osoby te ściśle współpracują z zespołami administratorów systemów komputerowych przy implementacji przyjętych
metod zabezpieczeń. Dla wdrożenia mechanizmów ochrony danych konieczna
jest dostępność środków technicznych
- jednym z nich jest możliwość kontrolowania adresów nadawców oraz odbiorców pakietów jak też identyfikacji usług
sieciowych w poszczególnych pakietach.
Ani repeatery ani bridge bądź switche takich możliwości niestety nie dają.
Sieć wirtualna
Wiele instytucji posiadających infrastrukturę sieci LAN stawia wymaganie
podziału użytkowników pracujących w
tych sieciach na grupy stosownie do zakresu ich obowiązków, zajmowanego
stanowiska, działu w jakim są zatrudnieni etc. Jednym z efektów wprowadzenia
takiego podziału jest podniesienie bezpieczeństwa zasobów - wybrane usługi
są dostępne jedynie dla członków grupy. Spełnienie wymogu podziału użytkowników na grupy w przypadku kla-
sycznych struktur sieci LAN jest możliwe
przez rekonfigurację fizycznej struktury okablowania. Dla sieci zbudowanych
na tzw. okablowaniu strukturalnym każdy z komputerów podłączony jest swoim indywidualnym przewodem (najczęściej skrętką 4-parową) prowadzącą do
punktów zbiorczych okablowania (tzw.
paneli krosujących) gdzie dokonuje się
połączeń poszczególnych komputerów
ze sobą w sieci LAN poprzez repeatery
lub switche. Dla tego typu sieci rekonfiguracje polegają na zmianie układu połączeń na panelach krosujących - tworzone są w ten sposób niezależne sieci LAN grupujące użytkowników poszczególnych zespołów. Zmiany struktury okablowania, łatwe do wykonania
w incydentalnych przypadkach, stają się
uciążliwe w sieciach o dużej dynamice
zmian, dużej ilości urządzeń oraz użytkownikach często zmieniających przynależność do określonych grup (czasami nazywanych „grupami roboczymi” i
kojarzonych z konkretną siecią LAN).
trator (hub - repeater) w okablowaniu
strukturalnym. Przynależność do konkretnej sieci wirtualnej określana jest
dla każdego z portów switcha dla sieci wirtualnych definiowanych statycznie lub przez identyfikację adresu MAC
włączanego komputera dla dynamicznych sieci VLAN. Jeśli do danego portu
switcha podłączonych jest więcej stanowisk (np. poprzez repeater, bridge,
lub switch nie posiadający możliwości
realizacji sieci wirtualnych), to wszystkie te stanowiska muszą należeć do jednej sieci wirtualnej - mianowicie do tej,
która „obowiązuje” na współdzielonym
przez nie porcie switcha. Sytuacja taka
w szczególności ma miejsce w przypadku podłączania grupy komputerów pracujących w sieci z okablowaniem koncentrycznym do portu switcha - wszystkie tak podłączone komputery należą
do tej samej sieci wirtualnej. W większości przypadków na decyzję o podłączaniu całej grupy komputerów do jednego portu switcha mają czynniki finan-
Koncepcja sieci wirtualnych pozwala na definiowanie
postaci struktury sieci LAN w sposób programowy
przez zmianę konfiguracji oprogramowania switchy, bez
konieczności ingerencji w strukturę fizycznych połączeń.
Dla uzyskania pełnej efektywności
możliwości konstruowania wirtualnych
sieci LAN konieczne jest zapewnienie, by każdy z komputerów podłączony był do niezależnego portu switcha
- uzyskujemy w ten sposób efekt nazywany niekiedy mikrosegmentacją. Pośrednio wprowadza to wymaganie użycia instalacji okablowania strukturalnego ponieważ w tym przypadku istnieje możliwość podłączania indywidualnych komputerów do elementów koncentrujących (w przypadku sieci wirtualnych elementami koncentrującymi są
switche). Dla okablowania wykonanego przewodem koncentrycznym („cienki Ethernet” - cheapernet 10Base2, „gruby Ethernet” 10Base5) wszystkie połączone komputery współdzielą pasmo
transmisji - ich wzajemne połączenie
jest funkcjonalnie odpowiednikiem połączenia komputerów przez koncen-
sowe - cena jednego portu Ethernet w
switchu jest jak na razie znacznie wyższa niż cena portu w koncentratorze.
W praktyce dla dużych sieci, dla których zdecydowano o podłączaniu indywidualnych stanowisk wprost do
switchy, nie jest możliwe aby wszystkie
komputery były podłączone do jednego switcha - po prostu nie istnieją switche oferujące więcej niż sto kilkadziesiąt portów (zwykle jest to znacznie
mniejsza wartość). Drugim powodem
jest konieczność ograniczania ilości
komputerów pracujących w jednej domenie broadcastowej w celu uniknięcia zbędnego obciążania procesorów
komputerów obsługą pakietów broadcastowych oraz multicastowych.
Istnieje zatem potrzeba „rozciągnięcia”
struktury sieci wirtualnej poza granice
jednego switcha. Wprowadza to koniecz-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
12
20 lat SOLIDEX
ność wyposażenia switchy w mechanizmy przekazywania informacji o sieciach
wirtualnych pomiędzy switchami (najlepiej by mechanizmy te były zestandaryzowane dla umożliwienia współpracy
urządzeń różnych producentów). Szczegółowe techniczne aspekty tej kwestii
omówiono w następnym punkcie.
Realizacja sieci wirtualnych
Dla realizacji sieci wirtualnych konieczne
są switche wyposażone w odpowiednie
oprogramowanie (nie każdy switch sieci
lokalnych daje takie możliwości).
W obrębie jednego switcha realizacja
sieci wirtualnych polega na określeniu
przynależności każdego z portów do
konkretnej sieci wirtualnej. Zwykle odbywa się to przez wydanie odpowiedniego polecenia konfiguracyjnego w
trybie pracy terminalowej ze switchem
(lokalna konsola lub zdalna sesja terminalowa) bądź też przesłanie odpowiedniego polecenia SNMP przy wykorzystaniu oprogramowania zarządzającego (często wyposażonego w intuicyjny interfejs graficzny). Otrzymujemy w
ten sposób rozłączne podzbiory portów
switcha - każdy z podzbiorów stanowi
odrębną grupę w ramach której odbywa się switching (bridging); jest to grupa stanowiąca sieć wirtualną. Podział logiczny switcha jaki następuje wskutek
takiej konfiguracji powoduje, że otrzymujemy kilka autonomicznych logicznych switchy umieszczonych w jednym
fizycznym urządzeniu. Pomiędzy grupami tworzącymi odrębne sieci wirtualne
nie ma możliwości komunikacji poprzez
switch tworzący te grupy. Dla zapewnienia komunikacji między poszczególnymi grupami interfejsów konieczne jest
ich „zewnętrzne” połączenie. Nie ma
większego praktycznego sensu łączenie takich grup przez repeater lub bridge’a (switcha) - w takim przypadku można przecież po prostu zdefiniować jedną grupę interfejsów. Połączenie kilku
sieci wirtualnych wymaga użycia technologii interpretujących pakiety głębiej niż w warstwie drugiej jak czynią to
switche. Jedyne sensowne połączenie
grup interfejsów (stanowiących odręb-
ne sieci wirtualne) odbywa się przez router. Z punktu widzenia konfiguracji routera oraz adresacji w protokołach sieciowych warstwy trzeciej połączenie
takie można porównać z połączeniem
dwóch, fizycznie wyodrębnionych sieci
LAN przez router. W najprostszym przypadku dla realizacji takiego połączenia
konieczny jest router wyposażony w co
najmniej dwa interfejsy Ethernet (dokładniej mówiąc, w taką ilość interfejsów, ile niezależnych sieci wirtualnych
mamy zamiar połączyć). Bardziej złożone przypadki, w których łączenie sieci
wirtualnych odbywa się przez router z
jednym fizycznym interfejsem zostaną
omówione w dalszej części.
W praktyce niezwykle rzadko zdarza się,
by cała struktura sieci lokalnych bazowała na dokładnie jednym switchu. Istnieje zatem konieczność realizacji sieci
wirtualnych rozciągających się na wiele
switchy. Dla przykładu, mając dwa switche X oraz Y chcemy skonfigurować sieci wirtualne A, B oraz C, tak by odpowiednio porty X1, X3, X4 switcha X oraz porty
Y1, Y2, Y4 tworzyły sieć wirtualną A, porty X2, X6, X8 oraz porty Y6, Y7, Y8 tworzyły sieć wirtualną B zaś porty X5, X7 oraz
Y3, Y5 sieć wirtualną C. Jak widać mamy
tutaj trzy sieci wirtualne (A, B oraz C) rozciągające się na dwóch switchach (tzn.
takie, których elementy-porty znajdują się zarówno na switchu X jak też na
switchu Y). Najprostszy sposób komunikacji wewnątrz sieci wirtualnych pomiędzy switchami jest połączenie switchy w
taki sposób, by połączona była para interfejsów na różnych switchach pochodząca z tej samej sieci wirtualnej. W powyższym przykładzie należałoby switche X oraz Y połączyć trzema niezależnymi połączeniami (każde z połączeń
na rzecz innej sieci wirtualnej) łącząc np.
porty X1-Y1 dla sieci A, X2-Y6 dla sieci B
oraz X5-Y3 dla sieci C. Takie rozwiązanie
problemu nie może być uznane za zadowalające. Nie oferuje ono wystarczającej
elastyczności - możemy między switchami skonfigurować tyle sieci wirtualnych
iloma dysponujemy połączeniami. Ponadto rozwiązanie takie wymaga zużycia na połączenia między switchami por-
tów - nie mogą być one użyte do podłączenia komputerów. Zrealizowane połączenia fizyczne między switchami ograniczają nam możliwości definiowania sieci wirtualnych (ograniczają np. ich ilość
do ilości połączeń między switchami jak
również wpływają na topologię sieci wirtualnych). Dla uzyskania pełnej swobody w konfigurowaniu sieci wirtualnych
musielibyśmy zrealizować połączenia
switchy „każdy z każdym” (co dla n switchy daje nam nx(n-1) połączeń). Następnie musielibyśmy zwielokrotnić ilość połączeń między każdą parą switchy przez
liczbę sieci wirtualnych jakie zamierzamy
konfigurować (jeśli chcemy uzyskać k sieci wirtualnych, to musielibyśmy zarezerwować na każdym z n switchy kxnx(n-1)
portów). Jak zatem widać konieczny jest
mechanizm pozwalający łączyć fragmenty sieci wirtualnych zdefiniowanych
na różnych switchach w bardziej efektywny sposób.
Interfejsy „trunk”
Switche posiadające możliwości konfigurowania sieci wirtualnych rozciągających
się na kilka fizycznych switchy wyposażone są w interfejsy mogące pracować
jednocześnie z wieloma sieciami wirtualnymi. Oznacza to, że przez dany interfejs
switcha przesyłane są pakiety należące do
różnych sieci wirtualnych. Interfejsy takie
nazywa się często „trunk interface”. Należy zwrócić uwagę na fakt, że pomimo pracy jednego fizycznego interfejsu z kilkoma sieciami wirtualnymi nie dochodzi do
„logicznego kontaktu” pomiędzy sieciami wirtualnymi. Tak więc również w tym
przypadku do komunikacji pomiędzy różnymi sieciami wirtualnymi konieczny jest
router. Nie należy mylić komunikacji sieci wirtualnych między sobą z komunikacją fragmentów tej samej sieci wirtualnej
rozciągającej się na kilka switchy, do czego
służą interfejsy „trunk”. Przesyłanie pakietów należących do różnych sieci wirtualnych przez ten sam fizyczny interfejs możliwe jest dzięki mechanizmom oznaczania
pakietów. Każdy z pakietów ma we własnym wnętrzu zapisany znacznik - najczęściej jest nim wartość numeryczna. Każda
z sieci wirtualnych ma własne, unikatowe
w skali środowiska fizycznie połączonych
© SOLIDEX, 2010
13
switchy oznaczenie. Oznaczenie takie jest
nadawane pakietowi przez switch w momencie wysyłania pakietu przez interfejs
„trunk”. Pakiet, otrzymawszy oznaczenie,
wędruje z nim przez środowisko współdzielone przez wiele sieci wirtualnych i
trafia do switcha, do którego podłączony
jest docelowy komputer pracujący w sieci wirtualnej oznaczanej identycznie jak to
zapisane wewnątrz pakietu. Switch odbierający oznaczony pakiet jest obowiązany
usunąć oznaczenie przed wysłaniem pakietu przez odpowiedni interfejs docelowy. Dzięki temu urządzenia pracujące w
sieciach LAN nie muszą być wyposażone
w mechanizmy interpretacji oznaczeń pakietów. Ponieważ komputery w sieciach
lokalnych nie „widzą” oznaczonych pakietów, więc nie muszą umieć nadawać oraz
usuwać oznaczenia. Nie ma zatem konieczności modyfikowania oprogramowania pracującego na komputerach, tak
aby komputery te mogły korzystać z sieci wirtualnych. Mechanizmy interpretacji
oznaczeń pakietów są konieczne dla serwerów, które zamierzamy udostępniać
poprzez interfejsy „trunk” switcha dla więcej niż jednej sieci wirtualnej. Podobnie
wirtualną z emulowaną w środowisku
ATM siecią LAN. Środowisko sieci ATM
musi posiadać skonfigurowanych tyle
emulowanych sieci LAN ile sieci wirtualnych mamy zamiar połączyć. Na uwagę zasługuje fakt, że jest to jak na razie
jedyny w pełni zestandaryzowany mechanizm oznaczania pakietów w sieci
wirtualnej na interfejsie „trunk”.
Dla interfejsu FDDI Cisco stosuje w celu
rozróżniania sieci wirtualnych adaptację standardu IEEE 802.10. Standard IEEE 802.10 opracowany został dla
umieszczania w ramce informacji pozwalających zweryfikować odbiorcy
autentyczność odbieranych informacji.
Rozszerza on podstawową postać ramki o pola pozwalające zapisać w zakodowanej postaci adresy MAC nadawcy
oraz odbiorcy oraz stwierdzić, czy informacja zawarta w ramce nie została
zmieniona w trakcie transmisji. Adaptacja standardu stosowana dla oznaczania przynależności pakietów do konkretnej sieci wirtualnej wykorzystuje niektóre z pól przewidzianych przez
IEEE 802.10 do zapisania identyfikato-
Technicznie sposób oznaczania pakietów zależny jest
od rodzaju interfejsu jakim pakiety mają być przesyłane.
Niestety, obecnie mechanizmy te opracowane są jedynie
dla wybranych typów interfejsów (ATM, FDDI oraz Fast
Ethernet) i różnią się zasadniczo między sobą. Brak jest
stosownych mechanizmów dla interfejsów Ethernet oraz
TokenRing - interfejsy takie nie mogą pracować jako „trunk”.
router musi umieć interpretować oznaczenia pakietów w celu realizacji routingu
pomiędzy sieciami wirtualnymi. Interfejs
„trunk” podłączony do routera pozwala
łączyć sieci wirtualne poprzez router wyposażony w jeden interfejs fizyczny.
Dla interfejsu ATM do rozróżniania pakietów należących do różnych sieci wirtualnych wykorzystywany jest standard LAN Emulation. Na switchach wyposażonych w interfejs ATM pełniący
rolę interfejsu „trunk” łączymy logicznie grupy interfejsów tworzące sieć
ra sieci VLAN - wymaga to od urządzeń
sieciowych właściwej interpretacji zawartości ramki w celu określenia sieci
wirtualnej do jakiej należy dany pakiet.
Dla interfejsu Fast Ethernet Cisco opracowało własną metodę nazwaną ISL
(Inter Switch Link). Podstawowa ramka
Ethernet rozszerzana jest o 30 bajtów,
wśród których 15 bitów przeznaczonych jest na zakodowanie identyfikatora sieci VLAN. Przez rozszerzenie ramki
o 30 bajtów ulega zmianie maksymalna wielkość ramki z 1518 do 1548 baj-
tów. W niektórych urządzeniach FastEthernet ramka o długości większej niż
1518 bajtów może być traktowana jako
niepoprawna. Przy doborze koncentratorów FastEthernet dla środowiska mającego łączyć interfejsy „trunk” FastEthernet z protokołem ISL należy zwracać uwagę, czy koncentrator będzie zezwalał na przesyłanie ramek o wielkości do 1548 bajtów. Koncentratory FastEthernet Cisco spełniają ten wymóg.
Trwają prace nad pełną standaryzacją
połączeń międzyswitchowych - IEEE
802.1q. Być może w przyszłości pozwoli
to konfigurować funkcje „trunk” na dowolnym typie interfejsu.
Podsumowanie
Przyjmując za punkt wyjścia ewolucyjne przekształcanie struktur sieci komputerowych w celu umożliwienia obsługi nowego rodzaju zadań jakimi są
obsługa przesyłania obrazów, dźwięku, video itp. postrzegamy technologię switchingu jako jedno z rozwiązań
technicznych integrujących środowisko klasycznych sieci LAN oraz nowe
technologie i idee zastosowań. Efektywne wdrożenie switchingu jak również możliwości zastosowania w środowisku sieci LAN nowych technologii jak ATM czy FastEthernet związane
są z wymogami odpowiedniego okablowania. Niewątpliwie w tym względzie przyszłość należy do okablowania strukturalnego. Dla sieci zrealizowanych na okablowaniu koncentrycznym jesteśmy niestety zmuszeni pozostać przy schemacie współdzielonego
medium transmisji bądź przebudować
istniejącą infrastrukturę.
Nowoczesne metody zarządzania sieciami LAN dają nam do dyspozycji tak
efektywne narzędzia jak sieci wirtualne. Połączenie tych mechanizmów
z szerokopasmowymi technologiami
możliwymi do zastosowania w rdzeniu sieci daje niespotykane dotychczas możliwości tworzenia struktur sieci komputerowych w pełni odpowiadających wymogom stawianym przez organizację oraz sposób funkcjonowania
przedsiębiorstwa.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
14
20 lat SOLIDEX
Techniczne aspekty bezpieczeństwa sieci komputerowych
Artykuł z Nr 11-12/1997 (26)
Tworząc współcześnie sieć teleinformatyczną jednym z podstawowych wymogów jaki stawiany jest ich
projektantom i wykonawcom jest zapewnienie odpowiedniego poziomu zabezpieczenia sieci. Dotyczy
to zarówno sieci lokalnych, jak i sieci o zasięgu ogólnokrajowym, czy nawet światowym. Jednak w wielu
przypadkach stwierdzenie odpowiedni poziom zabezpieczeń rozumiane jest bardzo różnie ze względu na
różny poziom realnych potrzeb i świadomość użytkowników.
Artykuł ten jest próbą scharakteryzowania i usystematyzowania funkcji i metod poszczególnych elementów składających się na spójny i kompletny system zabezpieczania sieci teleinformatycznej.
Niezawodność sieci
Często jednym z najistotniejszych elementów zabezpieczeń sieci jest zapewnienie nieprzerwanej jej pracy. W
zależności od sposobu wykorzystywania struktury sieciowej przyjmowane są różne definicje zapewnienia ciągłości pracy sieci, dla jednych akceptowalna będzie nawet kilkugodzinna
przerwa w pracy, dla innych 5 minut to
znacznie za długo.
Uwzględniając swoje własne kryteria
ciągłości pracy należy przewidzieć stosowanie zapasowych elementów sieci. Dotyczy to przede wszystkim nadmiarowości mediów transmisyjnych
(zarówno w sieciach LAN, jak i WAN)
oraz urządzeń aktywnych sieci (routery, switche, huby, itp.).
Nadmiarowość łączy w sieciach rozległych realizowana jest zależnie od typu
stosowanych linii poprzez zapewnienie
co najmniej kilku możliwych dróg transmisji pomiędzy każdymi dwoma punktami sieci. Wybór drogi odbywa się automatycznie w oparciu o oprogramowanie urządzeń aktywnych sieci (routerów, switchy). Jeżeli nie są wykorzystywane połączenia punkt-punkt, ale publiczne sieci wielodostępne (x.25, Frame
Relay, ATM) można bazować na pewnej
nadmiarowości połączeń zapewnianej
przez operatora sieci publicznej. W takiej sytuacji stosowanie ewentualnych
dodatkowych łączy zapasowych powinno bazować na połączeniach pochodzących od innego operatora. Obsługa połączeń zapasowych zarówno podczas
awarii jak i w celu zrównoleglenia ich z
łączami podstawowymi może być oparta o specjalne funkcje oprogramowania urządzeń aktywnych bądź protokół
dynamicznego routingu (np. OSPF, RIP,
EIGRP, BGP, IS-IS).
Nadmiarowość routerów łączących sieci LAN z siecią WAN wymaga zadecydowania w jaki sposób stacje robocze pracujące w sieci LAN będą wybierały poprzez który z zainstalowanych routerów
mają być wysyłane pakiety do sieci WAN.
Istnieje kilka możliwości automatycznej
obsługi takiej sytuacji, np.: Hot Standby
Routing Protocol (HSRP), Router Discovery Protocol (RDP), routing dynamiczny. HSRP polega na tym, że dwa routery przyłączone do jednej sieci LAN skonfigurowane są tak, by widoczny był dla
komputerów w tym segmencie logiczny (nieistniejący fizycznie) jeden router
o konkretnym adresie IP. Stacje użytkowników konfigurowane są tak, że jako default gateway pokazywany jest właśnie
ten logiczny router; natomiast decyzja
poprzez który z fizycznie przyłaczonych
routerów pakiety będą wysyłane podejmowana jest poprzez routery w sposób
niewidoczny dla stacji użytkownika.
RDP bazuje na fakcie, że stacje użytkowników potrafią znaleźć adres działającego routera. W przypadku poprawnej
pracy obydwu routerów pakiety będą
wysyłane poprzez ten router, który odpowie jako pierwszy. RDP ma jednak
poważną wadę w stosunku do HSRP,
wymaga czynnego uczestnictwa stacji
użytkownika w całym procesie, co oznacza, że protokół RDP musi być zaimplementowany w oprogramowaniu stacji.
Stacje użytkowników mogą również
czynnie uczestniczyć w routingu dynamicznym, co jednak wymaga zaimplementowania w oprogramowaniu stacji odpowiedzniego protokołu (np. RIP,
OSPF).
Ochrona przed niepowołanym
dostępem do sieci LAN
W przypadku korzystania z sieci publicznych do łączenia sieci LAN nie
można wykluczyć prób uzyskania dostępu do sieci lokalnych przez nieuprawnionych użytkowników. Jednak
całkowite odcięcie sieci lokalnej od sieci publicznej pozbawiałoby strukturę
sieci podstawowej funkcjonalności. W
praktyce oznacza to konieczność spełnienia pozornie sprzecznych założeń:
zapewnienie dostępu do sieci lokalnej
(poprzez sieć publiczną) użytkownikom uprawnionym i jednocześnie niedopuszczenie do wejścia do sieci lokalnej innych użytkowników tej samej sieci publicznej. W sytuacjach takich pojawia się konieczność skonfigurowania firewalla czyli rozbudowanego mechanizmu filtrowania wchodzącego i wychodzącego ruchu na styku sieci LAN
i WAN. Poprawnie zaprojektowany firewall to nie jest jedno urządzenie, czy
pakiet oprogramowania jest to raczej
zespół współpracujących ze sobą ele-
© SOLIDEX, 2010
15
mentów sprzętowych i programowych
zapewniających funkcje filtrowania ruchu, weryfikacji połączeń, rejestrowania zdarzeń i alarmowania w przypadku stwierdzenia próby naruszenia prywatności sieci.
Mechanizmy filtrowania ruchu mogą
być realizowane poprzez funkcje oprogramowania routerów, komputerów,
jak również specjalizowane rozwiązania sprzętowo-programowe. Filtrowanie takie może się opierać na kombinacjach wielu różnych kryteriów: adresów
komputerów źródłowych i docelowych
(w sensie warstwy II i III modelu OSI), typach usług (np.: ftp, telnet, http, SMTP),
a także kierunku zestawiania połączenia.
Dodatkowo można zastosować odpowiedni skonfigurowany (na routerze
lub specjalizowanym urządzeniu) mechanizm Network Address Translation
(NAT). Polega on na dynamicznym tłumaczeniu prywatnych adresów IP na
oficjalnie przyznane. Sam NAT nie służy
bezpośrednio do zabezpieczania dostępu do sieci, jednak w wielu implementacjach można go tak skonfigurować, by realizował translację adresów
jedynie dla sesji zestawianych z sieci
lokalnej do sieci rozległej próby zestawienia jakichkolwiek sesji w kierunku
przeciwnym nie zostaną zrealizowane.
Oczywiście musi być możliwość skonfigurowania pewnych wyjątków od tej
zasady chociażby wpuszczanie poczty
przychodzącej z zewnątrz.
Dodatkowe aspekty konfiguracji firewalla pojawiają się w momencie, kiedy
pojawia się potrzeba chronienia zasobów sieci lokalnej i równocześnie trzeba
wystawić serwer usług publicznych (np.
serwer WWW). W sytuacji takiej proponuje się zwykle rozdzielenie sieci lokalnej na dwie części: tzw. sieć zdemilitaryzowaną (zawierającą serwery usług publicznych) oraz sieć prywatną. Zaprojektowania wymagają w takiej konfiguracji dwa zestawy filtrów i innych zabezpieczeń: na styku sieci WAN ze strefą
zdemilitaryzowaną; oraz na styku strefy zdemilitaryzowanej z siecią prywatną.
Kontrola dostępu do sieci poprzez
łącza komutowane
Bardzo często pojawia się potrzeba realizacji zdalnego dostępu do sieci LAN
poprzez łącza komutowane (analogowe lub ISDN). Jest to szczególnie istotne dla osób podróżujących służbowo, które z praktycznie dowolnego
miejsca potrzebują dostępu do zasobów sieci. Równocześnie jest to bardzo duże zagrożenie dla prywatności
danych znajdujących się na komputerach w sieci lokalnej.
Skuteczna ochrona dla tego typu połączeń musi bazować na implementacji trzech mechanizmów: legalizacji połączeń, autoryzacji użytkowników i rejestrowania zdarzeń. < align=justify> Legalizacja polega na jednoznacznym i wiarygodnym stwierdzeniu tożsamości osoby,
która uzyskała połączenie z serwerem
dostępowym do sieci. Funkcja ta wspomagana jest wieloma mechanizmami od
klasycznych haseł do inteligentnych kart
identyfikacyjnych i oprogramowania obsługującego je. Kolejnym elementem legalizacji może być wymuszenie oddzwaniania (call-back) po zestawieniu połączenia i ustaleniu tożsamości użytkownika, sesja jest automatycznie zrywana i router dzwoni na konkretny numer telefonu skojarzony z danym użytkownikiem.
W ten sposób uzyskujemy pewność, że
dany użytkownik zestawiał połączenie ze
swojego numeru telefonu.
Autoryzacja użytkownika następuje
bezpośrednio po legalizacji. Polega ona
na przyznaniu konkretnemu użytkownikowi precyzyjnych przywilejów do
korzystania z sieci lokalnej. W ten sposób zyskuje się możliwość elastycznego konfigurowania pozwoleń opartych
o adresy komputerów, z którymi wolno
użytkownikom zestawiać sesje; godziny,
w których mogą pracować zdalnie; aplikacje, które mogą uruchamiać; itp.
Rejestrowanie wszelkiej aktywności na
połączeniach komutowanych ma na
celu umożliwienie administratorowi
wychwycenie prób włamania do sieci,
przekroczenia przywilejów, itp.
Istotne jest także to, by tożsamość
użytkownika była stwierdzana jak najwcześniej: czyli na serwerze dostępowym (routerze), a nie dopiero na serwerach usług (komputerach) w sieci
lokalnej. Oznacza to konieczność implementowania legalizacji, jak również pozostałych elementów zabezpieczenia, w oprogramowaniu routerów.
Oczywiście na routerze jako urządzeniu najbardziej wystawionym w sieć
WAN nie powinna być przechowywana baza użytkowników, haseł i autoryzacji dlatego poprzez specjalne protokoły (np. TACACS+) realizowana jest komunikacja pomiędzy serwerem dostępowym, a serwerm wewnątrz sieci lokalnej przechowującym te bazy.
Ochrona prywatności i spójności
przesyłanych danych
W celu zapewnienia poufności przesyłanych danych wykorzystywane są mechanizmy szyfrowania ich. Pierwsze pytanie przy wyborze rozwiązania szyfrującego transmisje powinno dotyczyć
warstwy (w sensie modelu OSI), w której szyfrowanie ma być realizowane.
Szyfrowanie w warstwie połączeń daje
całkowitą niezależność od typu wykorzystywanych protokołów warst wyższych
(w tym aplikacji). Jednak jest silnie zależne od typu sieci (X.25, Frame Relay, itp.).
Dla takiej realizacji szyfrowania trzeba
myśleć o niezależnych szyfratorach dla
łączy podstawowych i zapasowych.
Szyfrowanie w warstwie sieciowej jest
natomiast niezależne z jednej strony od
typu sieci (X.25, Frame Relay, itp.), z drugiej strony od wykorzystywanych aplikacji. Jest natomiast silnie zależne od
typu protokołów w warstwie trzeciej (IP,
IPX, itp.). Dla tak zaimplementowanego szyfrowania nie ma przeważnie konieczności interesowania się strukturą
łączy podstawowych i zapasowych.
Szyfrowanie w warstwie aplikacji jest całkowicie niezależne od typu sieci i protokołów
w niej wykorzystywanych. Wymaga natomiast implementowania w każdej aplikacji,
której dane mają być szyfrowane.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
16
20 lat SOLIDEX
Istotnym parametrem rozwiązań szyfrujących jest algorytm stosowany do
enkrypcji. Najczęściej stosowane algorytmy to DES56, TrippleDES, IDEA.
Wybierając rozwiązanie szyfrowania
należy także zwrócić uwagę na stosowane mechanizmy wymiany kluczy publicznych, ponieważ w znaczny sposób
może to wpływać na łatwość konfiguracji i administracji produktami.
Należy także uwzględnić pewne uwarunkowania proceduralne, np. konieczność kompetencyjnego i organizacyjnego rozdzielenia zarządzania
aplikacją, zarządzania siecią oraz zarządzania systemem bezpieczeństwa.
W przypadku implementacji szyfrowania w aplikacji, przeważnie niemożliwe jest rozdzielenie administracji oprogramowaniem od administracji systemem zabezpieczeń. Podona
sytuacja wystąpi przy implementacji
szyfrowania w routerach tym razem
niemożliwe będzie rozdzielenie zarządzania systemem zabezpieczeń od zarządzania siecią.
Spójność przesyłanych danych weryfikowana może być o mechanizmy podpisu elektronicznego do każdej wiadomości dołączany jest ciąg znaków
umożliwiający odbiorcy wiadomości
jednoznaczne stwierdzenie, czy pochodzi ona od podpisanego nadawcy; a także stwierdzenie, czy nie została zmodyfikowana od momentu
nadania do otrzymania. Podpis elektroniczny zapewnia także niezaprzeczalność, czyli możliwość udowodnienia nadawcy faktu wysłania konkretnej wiadomości.
Kontrola dostępu do danych
w sieciach LAN
Zarówno dla sieci budowanych w oparciu o repeatery jak też o switche lub
bridge wspólną cechą jest przesyłanie
pakietów do ich odbiorców bez możliwości sprawdzania kto jest nadawcą
pakietu oraz jakie dane (jakie protokoły) przesyłane są w jego wnętrzu.
Rezultatem tej cechy jest możliwość
dostępu do wszystkich zasobów (serwerów oraz świadczonych przez nich
usług) zlokalizowanych w sieci LAN
co uniemożliwia konstruowanie mechanizmów ochrony danych i usług.
Usługi dostępne w sieciach są zwykle
dedykowane dla konkretnych użytkowników. Dla wdrożenia mechanizmów ochrony danych konieczna jest
dostępność środków technicznych
- jednym z nich jest możliwość kontrolowania adresów nadawców oraz
odbiorców pakietów jak też identyfikacji usług sieciowych w poszczególnych pakietach. Ani repeatery ani
bridge bądź switche takich możliwości niestety nie dają.
Wiele instytucji posiadających infrastrukturę sieci LAN stawia wymaganie podziału użytkowników pracujących w tych sieciach na grupy stosownie do zakresu ich obowiązków,
zajmowanego stanowiska, działu w
jakim są zatrudnieni etc. Jednym z
efektów wprowadzenia takiego podziału jest podniesienie bezpieczeństwa zasobów - wybrane usługi są
dostępne jedynie dla członków danej grupy. Spełnienie wymogu podziału użytkowników na grupy w
przypadku klasycznych struktur sieci LAN jest możliwe przez rekonfigurację fizycznej struktury okablowania. Dla sieci zbudowanych na tzw.
okablowaniu strukturalnym każdy z
komputerów podłączony jest swoim
indywidualnym przewodem (najczęściej skrętką 4-parową) prowadzącą
do punktów zbiorczych okablowania
(tzw. paneli krosujących) gdzie dokonuje się połączeń poszczególnych
komputerów ze sobą w sieci LAN poprzez repeatery lub switche.
Dla tego typu sieci rekonfiguracje
polegają na zmianie układu połączeń na panelach krosujących - tworzone są w ten sposób niezależne
sieci LAN grupujące użytkowników
poszczególnych zespołów. Zmiany
struktury okablowania, łatwe do wykonania w incydentalnych przypadkach, stają się uciążliwe w sieciach o
dużej dynamice zmian, dużej ilości
urządzeń oraz użytkownikach często zmieniających przynależność do
określonych grup (czasami nazywanych grupami roboczymi i kojarzonych z konkretną siecią LAN).
Koncepcja sieci wirtualnych pozwala
na definiowanie postaci struktury sieci LAN w sposób programowy przez
zmianę konfiguracji oprogramowania
switchy, bez konieczności ingerencji w
strukturę fizycznych połączeń.
Podsumowanie
Faktyczne zabezpieczenie sieci teleinformatycznej musi być oparte o
wnikliwą analizę wymagań funkcjonalnych i wartość oraz ważność przesyłanych danych. Wynikiem tej analizy powinno być opracowanie założeń polityki bezpieczeństwa. Dopiero te założenia powinny, poprzez
opracowanie szczegółowego projektu technicznego, zostać przełożone
na dobór urządzeń i oprogramowania zapewniających wymagany poziom bezpieczeństwa sieci. Z założeń polityki bezpieczeństwa powinny także wyniknąć parametry konfiguracyjne zabezpieczeń oraz procedury organizacyjne do realizacji
stworzonych założeń. SOLIDEX jest
firmą zajmującą się projektowaniem
i wdrażaniem sieci teleinformatycznych od 7 lat.
W swojej pracy specjaliści SOLIDEX
często stają przed zadaniem współtworzenia założeń polityki bezpieczeństwa oraz doboru urządzeń,
oprogramowania; i wdrożenia zaprojektowanego systemu. Rozwiązania,
na których oparte są projekty zabezpieczeń realizowane przez SOLIDEX
bazują najczęściej na produktach
firm Cisco Systems, Cylink Inc., oraz
Sun Microsystems.
© SOLIDEX, 2010
17
SSH - nowa era bezpiecznych połączeń?
Artykuł z Nr 9-10/1998 (31)
Dawno, dawno temu, kiedy komputer osobisty był tylko teorią, lub drogą fanaberią, w czasach gdy Internet
nie był jeszcze rzeczą tak powszechną, jak Microsoft Windows, lub sklepy MacDonalds - w tych zamierzchłych
czasach narodziła się idea zdalnej pracy na komputerach....
Zdawało by się - nic prostszego - programiści dostali zlecenie stworzenia
metod pozwalających na efektywniejszą pracę, zdalne zarządzanie odległymi maszynami, itp. Doszło nawet do
tego, że stworzono protokół umożliwiający przesyłanie grafiki ze zdalnego
serwera na terminal, przy którym siedział użytkownik.
stał ze standardowych narzędzi dostarczanych wraz z systemem (tzw. zdalnych
komend - r-commands), to duzy_komputer nigdy nie sprawdzał, czy jan_kowalski
jest rzeczywiście tym samym użytkownikiem, co zwykle, a każda maszyna, która
miała swój adres zgodny z adresem systemu maly_komputer traktowana była automatycznie jak system zaufany.
W tych zamierzchłych czasach pełen dostęp do maszyn mieli tylko wielcy kapłani - administratorzy, a wszystkie systemy znajdowały się w dobrze zabezpieczonych, chronionych przed niepowołanym dostępem środowiskach, i nikomu nie przychodziły do głowy tak nierozważne pomysły jak włączanie komputerów do jakiejś ogólnodostępnej sieci. A nawet jeśli ktoś już wpadł na taki pomysł, to i tak wierzył, że jego system jest
doskonale zabezpieczony..... Powszechnie stosowane sposoby łączenia się z odległymi komputerami opierały się na niczym niezmąconej wierze w to, że użytkownik, który próbuje nawiązać połączenie jest dokładnie tym, za kogo się podaje,
zaś nikomu w głowie nie powstał nawet
cień myśli, że jakiś hacker mógłby skonfigurować swoją maszynę tak, aby udawała ona jakiś inny, zaufany system. I niby nic
w tym dziwnego... skoro wszystkie systemy znajdowały się w zaufanym miejscu, bez możliwości zmiany ich konfiguracji przez kogokolwiek poza administratorem, a wszystko działo się w czasach, gdy
słowem hacker określano jeszcze bardzo
zdolnego programistę, a nie, jak to nastąpiło potem - człowieka włamującego się
do cudzych systemów komputerowych...
Tak więc - jeśli użytkownik jan_kowalski z
maszyny maly_komputer miał prawo do
zdalnej pracy na znajdującym się gdzie indziej serwerze duzy_komputer - i korzy-
Kilka lat później....
Czasy zaczęły się jednak zmieniać, i to
wcale nie na lepsze... Coraz więcej komputerów zaczęto włączać do sieci... Sieci zaczęły być wszechobecne - a zwłaszcza jedna z nich - Internet. Początkowo
wydawało się, że będzie doskonałym narzędziem do pracy.... Prawda. Był narzędziem tak idealnym, że technologie internetowe zaczęto stosować wszędzie
- w szkołach, szpitalach, w sieciach rozległych firm, w sieciach wewnętrznych
firm. I jakby nikt nie pamiętał o tym, jakie zagrożenia niosą ze sobą stare, od lat
nie modyfikowane protokoły stosowane
w Internecie, które były stosunkowo niezawodne - w końcu stworzono je tak, aby
wiadomość dotarła do adresata niezależnie od uszkodzenia dużych fragmentów
sieci, ale nikt nie zadbał o to, żeby wiadomości te docierały w stanie nienaruszonym. Nie projektowano ich także z myślą
o zapewnieniu poufności danych. I to był
początek końca..... Od włamań prostych
i nieskomplikowanych, wykorzystujących słabości metod autentykacji, stosowanych przez r-commands - polegających na włamaniu się na konto ofiary na
maszynie klienckiej a następnie zupełnie
„legalnym” wejściu na system docelowy
- włamywacze przeszli do włamań o wiele bardziej wyrafinowanych. Pomijając
sprawy tak oczywiste i trywialne, jak sniffing, czyli, mówiąc językiem normalnych
ludzi przechwytywanie danych znajdujących się w sieci, a wśród nich haseł, numerów kart kredytowych, kont i tym podobnych zupełnie niezabezpieczonych
(czytaj - niezaszyfrowanych) cennych informacji, protokół TCP/IP stosowany do
łączenia maszyn i przesyłania danych
w Internecie umożliwia także np. przechwycenie sesji przez włamywacza. Atak
taki nazwano tcp session hijacking, a polega on (w skrócie) na tym, że atakujący
podsłuchuje zdalną sesję klienta-ofiary
na serwerze docelowym i w dogodnym
dla siebie momencie, strumieniem specjalnie spreparowanych danych, odcina
ofiarę od sieci, samemu zajmując jej miejsce w już zestawionej, zautentykowanej
sesji - wszystko odbywa się niezauważalnie dla serwera. Ponadto okazało się, że
można oszukać system mapowania adresów internetowych - DNS - w taki sposób,
że komputer, do którego próbuje dostać
się hacker „myśli”, że logowanie następuje z jednego z uprawnionych systemów
(nazwy uprawnionych systemów przechowywane są albo w ogólnosystemowym pliku hosts.equiv, albo w plikach
.rhosts znajdujących się w katalogach
domowych użytkowników) i rzecz jasna
wpuszcza go bez uruchamiania jakiegokolwiek systemu alarmowego, bo i dlaczego miałby to robić. Ten typ ataku nazwano DNS spoofingiem.
W takich warunkach nie dało się pracować bezpiecznie - nie było wiadomo,
kto jest kim, czy wysyłane przez kogoś
dane są rzeczywiście tymi danymi, które miały dotrzeć.... koszmar - potrzebne było narzędzie, które będzie proste w implementacji, zapewni dobrą
autentykację zarówno dla użytkownika, jak i dla obu systemów biorących
udział w sesji, mało tego - musi umoż-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
18
20 lat SOLIDEX
liwić ochronę danych - poprzez szyfrowanie, a do tego wszystkiego będzie
łatwe w użyciu, proste i niekłopotliwe
w implementacji na systemach końcowych. Najlepiej byłoby oczywiście,
gdyby było niezależne od platformy
sprzętowo/systemowej itp., itd. Trudne
?! Być może. Ale nie niemożliwe.
Internet/Intranet - dzień dzisiejszy
Pewnego dnia na listach dyskusyjnych
dotyczących bezpieczeństwa sieci pojawiła się informacja o dostępności nowego narzędzia - SSH, czyli secure shell.
Czy to było właśnie to, czego wszystkim
dbającym o bezpieczeństwo danych
było trzeba ?! Na pewno nie wszystkim,
ale dużej części owszem.
Od instalacji, poprzez konfigurację, a na
użytkowaniu skończywszy - SSH doskonale spełnia wszystkie wymagania jakie
są przed tego typu oprogramowaniem
stawiane. Użytkownicy MS Windows
otrzymują przyjazny dla użytkownika, łatwy w konfiguracji interfejs graficzny, do
którego są przyzwyczajeni - nieco przypominający standardową okienkową implementację telneta. Użytkownicy wersji Unixowych otrzymują narzędzie tak
proste w użyciu jak zwykły telnet, czy rkomendy (rsh, rlogin) i w podstawowej
formie prawie nie wymagające konfiguracji po stronie użytkownika (istnieje
możliwość instalacji SSH z nadpisaniem
oryginalnych r-komend tak, że użytkownicy nawet nie dostrzegają zmian).
Sposób działania ?!
Host
Stworzenie SSH nie było zadaniem trywialnym. Przyjrzyjmy się więc w jaki sposób udało się osiągnąć to, o czym powyżej napisałem. Podstawowym zadaniem
było zapewnienie niezależnej od normalnych usług nazewniczych (takich jak plik /
etc/hosts, czy Domain Name Service wykorzystywany w Internecie) autentykacji
systenów biorących udział w połączeniu
(dokonuje się jej używając metod kryptografii klucza publicznego). Każdy system musi posiadać swój klucz prywatny i publiczny. Przy pierwszym połączeniu klienta z wybranym serwerem na-
stępuje wymiana kluczy pomiędzy systemami i każda następna sesja jest przy
ich użyciu autentykowana. Taka metoda
wymiany kluczy (brak centralnego repozytorium kluczy publicznych - Certificate
Authority) zapewnia łatwiejsze i szybsze
wdrożenie SSH, jednak czyni ten protokół wrażliwym na tzw. aktywny atak typu
man-in-the-middle (polega on w skrócie
na tym, że atakujący, który śledzi poczynania obu stron zamierzających wymienić miedzy sobą w czasie pierwszego połączenia klucze publiczne, może przechwycić jeden z kluczy, podmienić go na
wygenerowany przez siebie i jeśli strona atakowana zaakceptuje taką „fałszywkę” - ma możliwość późniejszego podszywania się pod uprawniony system).
Należy jednak zwrócić uwagę, że na atak
taki podatna jest tylko i wyłącznie pierwsza sesja, i jeśli zostaną zachowane odpowiednie środki ostrożności - np. zostanie
przeprowadzona niezależna (można dokonać jej przez telefon) weryfikacja tzw.
odcisków palców kluczy (ang. key fingerprints) będących krótkimi ciągami znaków unikalnymi dla każdego, długiego
klucza - można się „człowieka pomiędzy”
nie obawiać. Key fingerprints są generowane przy użyciu silnych metod kryptograficznych, na przykład algorytmu MD5
- Message Digest 5).
Użytkownik
Po rozwiązaniu problemu autentykacji biorących udział w sesji systemów
należało rozwiązać problem prawidłowej autentykacji użytkowników logujących się na zdalnych maszynach. Dla
ułatwienia wdrożenia pozostawiono
wszystkie standardowe metody autentykacji - autentykację hasłem w której
wykorzystywane są standardowe hasła
systemowe (w chwili obecnej implementacje serwera SSH istnieją wyłącznie na systemy Unixowe) oraz autentykację wyłącznie z użyciem plików .rhosts lub hosts.equiv (omówioną w części
Dawne czasy) - stanowiącą istotne zagrożenie dla bezpieczeństwa systemu.
Oprócz tych dwóch typów autentykacji pojawiły się jednak dwa dodatkowe, które zapewniają wyższy poziom
bezpieczeństwa - Rhosts Rsa Authen-
tication - korzystająca z plików .rhosts
i hosts.equiv, lecz wyłącznie po przeprowadzonej poprawnej autentykacji
hostów z użyciem kluczy publicznych
RSA, oraz najodporniejsza na wszelkie
oszustwa autentykacja z wykorzystaniem klucza publicznego RSA, generowanego dla chcącego z niej korzystać
użytkownika. RSA Authentication jest
metodą zalecaną we wszystkich środowiskach, jako metoda najbezpieczniejsza i dająca największe możliwości. Jej
wadą jest jednak konieczność specjalnego przygotowania środowiska pracy, czego nie wymagają pozostałe trzy
metody - nie jest to jednak procedura specjalnie skomplikowana. Wymaga ona utworzenia przez użytkownika
na systemie nawiązującym połączenie
pary kluczy - tzw. ssh identity, a następnie skopiowania publicznej części (ssh
identity składa się z części publicznej i
prywatnej) na serwer docelowy, do katalogu zawierającego dane SSH użytkownika. Część prywatna powinna być
chroniona hasłem, które jest ustalane
przy generacji ssh identity przez użytkownika. Jak wygląda więc, z punktu widzenia użytkownika, sesja SSH z
wykorzystaniem RSA Authentication ?!
Przy próbie nawiązania połączenia, po
udanej negocjacji sposobu autentykacji pomiędzy klientem a serwerem, w
sytuacji gdy dozwolona jest autentykacja RSA, i gdy serwer posiada klucz
publiczny użytkownika - użytkownik
wprowadza lokalnie hasło odblokowujące klucz prywatny znajdujący się wyłącznie na systemie klienckim, następuje weryfikacja kluczy i użytkownik zostaje wpuszczony na serwer. Jeśli dysponujemy kilkoma serwerami SSH, na
różnych maszynach - użytkownik musi
mieć albo wszędzie zainstalowane pliki .rhosts, bądź też przy logowaniu się
na każdą z maszyn podawać hasło. Tutaj przychodzi na pomoc autentykacja
kluczami RSA wraz z tzw. ssh-agentem.
SSH-agent jest programem, do którego przed nawiązaniem sesji wprowadza się klucze autentykacyjne, i który
następnie (jeśli w konfiguracji SSH jest
to dozwolone) wyręcza użytkownika w
procesie autentykacji.
© SOLIDEX, 2010
19
Dane
Po załatwieniu problemów związanych
z mechanizmami autentykacji pozostała
wciąż aktualna kwestia ochrony danych
(zagrożenie sniffingiem) i przeciwdziałania TCP hijackingowi. Najlepszym sposobem na to jest po prostu szyfrowanie
danych - uniemożliwia ono przechwycenie danych (zastosowano do ich enkrypcji bardzo silne metody) i czyn niemożliwym hijacking - napastnik nawet
po przechwyceniu sekwencji TCP, odcięciu właściwego klienta od serwera jest
bezradny - w związku z tym, że dane są
szyfrowane, nie jest w stanie wykonać
żadnej komendy na serwerze. Dodatkowym mechanizmem zapewniającym integralność danych jest kod autentykacyjny wiadomości (MAC - Message Authentication Code) dołączany do każdego pakietu. MAC jest wyliczany przy
użyciu wspólnego dla klienta i serwera
klucza, numeru sekwencyjnego pakietu TCP, oraz zawartości samego pakietu. Pozostawało pytanie - w jaki sposób
szyfrować przesyłane dane ?! Najbezpieczniejszym i dającym najwyższy stopień poufności systemem była oczywiście kryptografia klucza publicznego (z
wykorzystaniem kluczy RSA), stosowana przez wiele publicznie dostępnych
pakietów szyfrujących - chociażby przez
PGP (Pretty Good Privacy).
Kryptografia kluczem publicznym
jest jednak zbyt złożona obliczeniowo i z powodu wydajności nie została zastosowana w SSH dla wymiany dużych ilości danych. Z powodu zaś „organizacyjnego” nie można było zastosować wyłącznie kryptografii kluczem tajnym - dużo wydajniejszej, lecz wymagającej od
obu stron posiadania tego samego,
tajnego klucza szyfrującego. Problemem było zapewnienie tajności klucza - jego przechwycenie przez napastnika oznaczało ujawnienie treści
wszystkich pakietów przesyłanych
przez SSH.
Problem ten rozwiązano więc stosując rozwiązanie będące hybrydą obu
poprzednich - po nawiązaniu połączenia przez oba systemy i wzajemnej autentykacji hostów kluczami
RSA, następuje negocjacja metody
szyfrowania danych kluczem tajnym,
a następnie - po jej uzgodnieniu (do
wyboru jest kilka różniących się skutecznością i wydajnością algorytmów
szyfrujących klucza tajnego), następuje szyfrowana kluczem publicznym (a więc po odrzuceniu man-inthe-middle attack - bezpieczna) wymiana klucza tajnego którym następnie szyfrowane są przesyłane dane.
Dane ?! Jakie dane ?!
Tak oto znaleźliśmy się w czasach dzisiejszych z możliwością pracy w bezpieczny sposób - hosty zostają w
słuszny sposób zautentykowane, tożsamość użytkowników przestaje budzić wątpliwości - zdalna praca terminalowa staje się bezpieczna dzięki szyfrowaniu danych, samo przesyłanie danych dzięki usługom typu
scp (secure copy) także. A co z innymi usługami - spytali użytkownicy ?!
Okazało się, że przydałoby się szyfrować także inne transmisje. Nie każdy mógł pozwolić sobie na szyfrowanie na poziomie samego protokołu
IP - wymaga to albo głębokiej ingerencji w system operacyjny, albo zastosowania specjalnych urządzeń takich, jak router z oprogramowaniem
szyfrującym, czy specjalizowany szyfrator. Rozwiązania tego typu mają
jednak tą wadę, że są dosyć skomplikowane w konfiguracji, oraz instalacji, a poza tym - szyfrują wszystko,
podczas, gdy chodziło o udostępnienie szyfrowania na znacznie wyższym
poziomie, właściwie per usługa. I tutaj znowu na pomoc przychodzi SSH
- wraz ze swoją możliwością przesyłania strumieni TCP ponad szyfrowanym połączeniem SSH, czy spoofingiem x-authority.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
20
20 lat SOLIDEX
Protokół IPSec - bezpieczeństwo w Internecie
Artykuł z Nr 11-12/1998 (32)
Internet gwałtownie zmienił sposób prowadzenia interesów, jednak równocześnie rozwój ten jest silnie
hamowany przez brak odpowiedniego poziomu bezpieczeństwa przesyłanych danych. Na porządku dziennym
zdarzają się próby włamania do naszych systemów, chociażby poprzez spoofing (podszywanie się pod legalne
adresy), utrata prywatności i integralności przesyłanych informacji.
Wprowadzenie Internetu na szeroką skalę umożliwiło budowę różnych struktur
przesyłu informacji, takich jak:
ƒƒ Extranet - gdzie przedsiębiorstwa
mogą budować połączenia ze swoimi dostawcami i partnerami. Dotychczas możliwe to było na bazie drogich
łączy dzierżawionych, lub wolnych łączy dzwonionych, teraz budowę takich sieci umożliwia Internet
ƒƒ Intranet - czyli struktur sieci prywatnych, obejmujących różne lokalizacje
przedsiębiorstwa
ƒƒ Remote users (zdalni użytkownicy) dla których Internet staje się tanią alternatywą dostępu do zasobów macierzystego przedsiębiorstwa.
Internet stanowi więc publiczną infrastrukturę niezbędną do stworzenia wszystkich powyższych konfiguracji. Nieszczęśliwie jednak w trakcie
rozwoju sieci Internet, nie zadbano
w porę o tak fundamentalne elementy, jak bezpieczeństwo, gwarancja jakości usług, praca w czasie rzeczywistym i zarządzanie zasobami sieciowymi.
Protokół IPSec
Cisco Systems wychodzi naprzeciw potrzebom zbudowania pewnego mechanizmu ochrony przesyłanych danych. Jako firma jest liderem wśród
wszystkich, zajmujących się rozwojem protokołu IP Security (IPSec). Protokół IPSec jest właśnie odpowiedzią
na te niedociągnięcia w dziedzinie bezpieczeństwa transferu danych. Protokół ten jest zestandaryzowaną metodą
umożliwiającą pełną prywatność, integrację i autentykację informacji przesyłanych przez sieci IP.
Protokół IPSec zapewnia szyfrowanie na poziomie protokołu IP. W standardach zdefiniowanych jest kilka nowych formatów pakietów: nagłówek
autentykacyjny (authentication header AH), który zapewnia integralność przesyłanych danych, oraz obszar danych - encapsulating security
payload (ESP), zapewniający dodatkowo poufność transmisji. Parametry
IPSec pomiędzy dwoma urządzeniami są negocjowane poprzez centralną jednostkę Internet Key Exchange
(IKE, znaną wcześniej jako Internet Security Association Key Management
Protocol, lub ISAKMP/Oakley). IKE używa cyfrowych certyfikatów (rodzaj
zabezpieczenia dokumentu lub pliku, pozwalający na stwierdzenie jego
autentyczności) do autoryzacji urządzenia, umożliwiając tworzenie dużych kryptowanych sieci. Bez cyfrowego certyfikatu rozwiązania oparte
o IPSec nie będą mogły być wprowadzane do Internetu. Cisco wprowadziło protokół IPSec zarówno do swojej
platformy software’owej - Cisco IOS,
jak i do urządzeń stanowiących zapory ogniowe - PIX Firewall.
przesyłania. To ryzyko jest obecnie największą wadą, hamującą wykorzystanie
Internetu na skalę globalną w prowadzeniu interesów. Nie kodowana wiadomość transmitowana przez sieć może
być odczytana przez nieuprawnione
osoby.
Zagrożenia bezpieczeństwa
transmisji danych w sieci Internet
Prywatne dane transmitowane w sieci Internet bez właściwej kontroli i
zabezpieczenia, narażone są na różne typy niebezpieczeństw. Poniżej
przedstawiono najczęściej występujące zagrożenia.
Podszywanie się pod legalnych
użytkowników (Identity spoofing)
Ochrona własnej identyfikacji w Internecie jest również elementarną
częścią bezpieczeństwa danych. Intruz może podszyć się pod legalnego użytkownika i korzystać z poufnych zasobów. Obecnie wiele systemów zabezpieczeń bazuje na adresacji IP w celu identyfikacji użytkownika. Niestety ten system jest łatwy do
złamania.
Brak poufności
Brak poufności występuje wtedy, gdy
nieuprawniony obserwator może
przechwycić tajne dane w trakcie ich
Utrata integralności przesyłanych
danych
Istnieją sytuacje, w których nie wymaga się poufności przesyłanych informacji, natomiast konieczne jest
zapewnienie integralności transmisji. Przykładowo istnieją rutynowe
transakcje, które mogą być udostępniane publicznie, natomiast konieczna jest pewność, że transmitowane
dane nie zostały po drodze zmodyfikowane. Przykładem jest zapytanie
o cenę końcową (znając poziom upustów) i parametry techniczne jakiegoś produktu, gdzie na podstawie
takich danych tworzy się ofertę handlową. Dotyczy to również sytuacji,
gdy po autoryzacji połączenia z bankiem, musi istnieć pewność, że transakcja nie zostanie po drodze zmodyfikowana.
© SOLIDEX, 2010
21
Uszkodzenie systemu realizacji
usług sieciowych (Denial-of-service)
Organizacje korzystające z usług Internetu muszą mieć pewność, że ich systemy są dostępne w sieci. W ciągu kilku ostatnich lat hackerzy znaleźli dziury w protokole TCP/IP, które umożliwiają im zawieszanie systemów komputerowych.
Opis protokołu IPSec
IPSec jest zbiorem otwartych standardów, zapewniających bezpieczną prywatną komunikację w sieciach IP. Bazując na standardach wdrożonych przez
IETF (Internet Engineering Task Force), IPSec umożliwia zachowanie poufności, spójność i autentykację danych
przesyłanych po sieciach IP.
Szyfrowanie i autentykacja może być
prowadzona na kilku warstwach sieciowych (fizycznej, łącza danych, sieciowej, transportowej i aplikacji). Wcześniej przed wdrożeniem standardów
IPSec, istniały jedynie częściowe rozwiązania. Przykładowo Secure Socket
Layer (SSL) zapewniał kryptowanie dla
przeglądarek webowych i innych aplikacji. SSL zapewnia poufność przesyłu
informacji pomiędzy aplikacjami które
go używają, jednak nie chroni danych
z innych aplikacji. Kolejne rozwiązanie,
stosowane często, to kodowanie transmisji na poziomie łącza transmisyjnego, co wymaga stosowania na każdym
końcu urządzenia szyfrującego. Ten
sposób zapewnia pełną ochronę danych, jednak jest kosztowny i trudny w
zarządzaniu.
IPSec stanowi połączenie kilku różnych technologii zabezpieczeń, dzięki czemu tworzy pełny system chroniący dane. W szczególności IPSec
używa:
ƒƒ Klucza wymiany Diffie-Hellmana dla
tworzenia kodów pomiędzy węzłami
połączonymi siecią publiczną
ƒƒ Szyfrowania klucza publicznego przez
potwierdzanie algorytmów Diffie-Hellmana, co gwarantuje identyczność
każdej z dwóch części i chroni przed
atakiem typu man-in-the-middle.
ƒƒ Stosowania algorytmów szyfrowania
danych typu DES
ƒƒ Stosowania kluczowych algorytmów
funkcji skrótu, takich jak HMAC, łącznie z tradycyjnymi algorytmami typu
MD5 lub SHA, w celu uwierzytelnienia pakietu
ƒƒ Cyfrowych certyfikatów potwierdzanych przez certyfikaty autoryzacyjne
takie jak cyfrowe karty ID
IPSec definiuje nowy zbiór nagłówków,
które mogą być dodawane do datagramów IP. Nowe nagłówki umieszczane
są po nagłówkach IP, a przed protokołami warstwy 4 (typowo TCP lub UDP).
Nowe nagłówki dostarczają informacji służących ochronie właściwych danych pakietu IP. Nagłówki te składają się
z dwóch części:
ƒƒ Authentication Header (AH)
ƒƒ Encapsulating Security Payload (ESP)
Pierwszy z nich dodany do datagramu
IP zapewnia spójność i autentykację
danych, łącznie z niezmiennymi polami
w wyższym nagłówku IP. Nie zapewnia
on ochrony poufności. AH używa częściej funkcji skrótu, niż podpisów cyfrowych, ponieważ technologia elektronicznego podpisu jest zbyt wolna.
Encapsulating Security Payload (ESP),
kiedy zostaje dodany do datagramu IP,
zapewnia mu poufność, spójność i autentykację. AH i ESP mogą być używane niezależnie, lub razem, z tym, że dla
większości aplikacji użycie jednego z
nich jest już wystarczające. IPSec pracuje w dwóch trybach, transportowym
i tunelowym (tunnel mode).
W trybie transportowym kodowane są
w pakiecie tylko dane, natomiast oryginalny nagłówek IP pozostaje niezmieniony. Zaletą tego rozwiązania jest to,
że dodawanych jest tylko kilka bajtów
do każdego pakietu. Tryb ten umożliwia urządzeniom sieci publicznej określanie adresu początkowego i docelowego każdego pakietu. Taka konstrukcja zapewnia uruchamianie na urządzeniach pośrednich specjalnych procesów, bazujących na informacjach z
nagłówka IP (przykładowo gwarancja
jakości usług). Pozostawienie niekodowanego nagłówka umożliwia nieautoryzowanym użytkownikom prowadzenie analizy ruchu pomiędzy poszczególnymi węzłami. Jednakże mogą oni
jedynie określić, że nastąpiła transmisja, bez możliwości stwierdzenia, czy
był to mail, czy też inna aplikacja. W
trybie tunelowym oryginalny datagram wejściowy IP jest w całości kodowany, stając się zawartością z danymi w
nowym pakiecie IP. Tryb ten umożliwia
urządzeniom sieciowym, takim jak router, pracę jako IPSec proxy. Oznacza
to, że router wyręcza hosty w kodowaniu danych. Źródłowy router kryptuje
pakiety i wysyła je wzdłuż tunelu IPSec.
Router docelowy deszyfruje oryginalny
datagram IP i przesyła go do docelowego miejsca w systemie. Główną zaletą
tego rozwiązania jest fakt, że docelowe
systemy nie muszą być modyfikowane,
by korzystać z usług IPSec. Tryb tunelowy zabezpiecza przesyłane informacje przed możliwością analizy ich ruchu. W tym trybie hacker może jedynie
określić końce tunelu, a nie właściwego
nadawcę i odbiorcę informacji.
Opierając się na definicji IETF, tryb
transportowy może być stosowany jedynie gdy oba systemy, źródłowy i docelowy, rozumieją IPSec.
Security Association (bezpieczne
połączenie)
Security Association (SA) jest relacją
pomiędzy dwoma lub więcej jednostkami, która wyjaśnia w jaki sposób jednostki używać będą systemów zabezpieczeń do bezpiecznej komunikacji.
Security Association jest jednokierunkowe. Oznacza to, że dla każdej pary
komunikujących się urządzeń zdefiniowane są przynajmniej dwa bezpieczne
połączenia - z A do B i z B do A.. Security Association jest jednoznacznie definiowane przez losowo wybrany jednoznaczny numer zwany Security Parameter Index (SPI) i docelowy adres IP
odbiorcy. Kiedy system wysyła pakiet,
który wymaga ochrony IPSec, przegląda S.A. w swojej bazie, uruchamia od-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
22
20 lat SOLIDEX
powiedni proces i wtedy wkłada właściwy SPI do nagłówka IPSec. Kiedy węzeł wyposażony w IPSec otrzymuje pakiet, przegląda SA po adresie docelowym i SPI w swojej bazie i wtedy analizuje pakiet. Reasumując Security Association jest po prostu ustaleniem wynegocjowanej polityki bezpieczeństwa
pomiędzy dwoma urządzeniami.
Internet Key Management Protocol
IPSec potrafi ustalić, czy Security Assotiation jest ustawione, natomiast nie
ma mechanizmów budowania takich
połączeń. IETF postanowił ustanowić
ten proces w dwóch częściach: IPSec
wykonuje procesy na poziomie pakietów, podczas gdy Internet Key Management Protocol (IKMP) negocjuje bezpieczne połączenia. Po rozpatrzeniu
kilku opcji IETF wybrało IKE jako standard konfigurowania bezpiecznych połączeń dla IPSec.
IKE buduje sprawdzony, bezpieczny tunel pomiędzy dwoma jednostkami i
wtedy negocjuje bezpieczne połącze-
nie dla IPSec. Proces ten wymaga by
każda jednostka sprawdziła się nawzajem i ustanowiła wspólne klucze.
Autentykacja
Oba końce połączenia muszą autentykować się wzajemnie. IKE dopuszcza
tutaj wiele sposobów uwierzytelniania. Obie jednostki muszą wyrazić zgodę na wspólny protokół autentykacyjny, budując go w procesie negocjacyjnym. W chwili obecnej zaimplementowane są trzy mechanizmy negocjacji:
ƒƒ Pre-shared keys - takie same klucze
pre-instalowane są na każdym hoście. IKE autentykuje każdy węzeł
przez wysyłanie skróconych danych
klucza, które zawierają klucze typu
pre-shared.
ƒƒ Public key cryptography - każda strona generuje pseudo losowy numer i
koduje go w kluczu publicznym drugiej strony.
ƒƒ Digital signature (podpis elektroniczny) - każde urządzenie podpisuje cyfrowo zbiór danych i wysyła je do drugiej strony.
Implementacja IPSec
w rozwiązaniach Cisco
Cisco zaimplementowało rozwiązania
IPSec na oprogramowaniu Cisco IOS od
wersji 11.3, oraz na sprzętowej zaporze
ogniowej PIX firewall.
IPSec na oprogramowaniu Cisco IOS
oferuje następujące właściwości:
ƒƒ Rozwiązanie softwarowe, nie wymagające modyfikacji sieci, a tylko
upgrade oprogramowania
ƒƒ Obsługuje podpisy elektroniczne Cisco i Verisign rozwinęły protokół
certyfikacyjny Certificate Enrollment
Protocol (CEP). Wielu usługodawców,
łącznie z Verisign i Entrust Technologies będzie obsługiwało Cisco CEP
ƒƒ Tworzy elastyczną politykę bezpieczeństwa
ƒƒ Jest częścią ogólnych rozwiązań w
dziedzinie bezpieczeństwa - zapewnia wiele funkcji zabezpieczeń, łącznie z usługami Cisco IOS firewall, autentykacją, kontrolą dostępu i accountingiem (AAA), route authenttication i Kerberos.
© SOLIDEX, 2010
23
Praktyczne zastosowania silnej autentykacji
Artykuł z Nr 9-10/1999 (37)
Już w starożytnym Rzymie zabezpieczenie poufności danych było zagadnieniem interesującym zarówno
kręgi militarne, jak i ekonomiczne. Autentykacja jest sposobem identyfikacji użytkownika. Zidentyfikowanie
użytkownika umożliwia przydzielenie praw dostępu do zasobów - czy będzie to tajna broń, czy będą to
dane kont bankowych lub tajemnice handlowe. W chwili obecnej firmy mają bardzo wiele powodów do
zabezpieczania dostępu do zasobów - poczynając od nakazów prawnych, a skończywszy na ochronie
własności firmy. Autentykacja nie może funkcjonować w próżni. Najczęściej mówi się w tym kontekście o
„modelu trzech A”: authentication, authorization, accounting.
Autentykacja jest rozumiana jako identyfikacja użytkownika - określenie kto usiłuje uzyskać dostęp do danego zasobu.
Autoryzacja umożliwia określenie praw
danego użytkownika - określenie co
może zrobić zidentyfikowany użytkownik w systemie.
Accounting daje możliwość śledzenia
przebiegu sesji (rozumianej jako czas,
w którym użytkownik miał dostęp do
zasobu) użytkownika w danym systemie. Inaczej mówiąc, umożliwia on zespołowi zarządzającemu systemem
określenie co zrobił użytkownik w czasie sesji.
Opisywane dalej rozwiązanie służy
przede wszystkim do silnej autentykacji użytkowników (autoryzacja i accounting realizowane są w oparciu o
współpracujące produkty innych producentów - np. oprogramowanie CiscoSecure Access Control Server).
Aby sprecyzować obiekt rozważań przeanalizujmy, pod względem bezpieczeństwa, najpopularniejszą metodę autentykacji, oraz podstawowe metody jej łamania.
Hasła
W dużym uogólnieniu metody autentykacji dzielą się na trzy zasadnicze grupy:
ƒƒ coś, co masz, jak na przykład klucz do
drzwi lub karta magnetyczna;
ƒƒ coś, co wiesz, w tej kategorii mieszczą się hasła;
ƒƒ coś, czym się charakteryzujesz, na
przykład odciski palców, charakterystyka głosu czy też wzór siatkówki.
Każda z tych metod ma swoje wady i
zalety - „coś co masz” można ukraść.
„Coś co wiesz” może zostać odgadnięte, przejęte czy nawet zapomniane. „Coś czym się charakteryzujesz”
jest najsilniejszą, ale jednocześnie
najkosztowniejszą i wciąż jeszcze zawodną metodą. Bazując na tym jednoczynnikowym modelu logicznym
następstwem jest stworzenie systemu autentykacji wykorzystującego kombinację dwóch z powyżej
podanych czynników. Przykładem
może być system autentykacji użytkowników w bankomatach używający kombinacji karty magnetycznej
(„coś co masz”) oraz kodu PIN („coś
co wiesz”).
Hasła - są najpopularniejszym obecnie sposobem autentykacji w systemach komputerowych. W przeszłości
prawie wszystkie systemy dopuszczające pracę wielu użytkowników używały autentykacji hasłem. Wyróżniane
są dwa typy haseł - wielokrotne i jednorazowe. W większości systemów domyślnie używa się haseł wielokrotnych.
Hasła wielokrotne są w chwili obecnej
zbyt łatwe do złamania, są wrażliwe na
ataki typu:
ƒƒ monitorowanie naciskanych klawiszy, atak może polegać na przechwytywaniu wszelkich znaków genero-
wanych przez klawiaturę przez wprowadzone oprogramowanie, lub w
przypadku braku dostępu do danego urządzenia monitorowanie emisji
elektromagnetycznej;
ƒƒ techniki psychologiczne, czyli wszelkie działania mogące doprowadzić
do dobrowolnego ujawnienia hasła, np. podanie się za członka ekipy
technicznej, czy też zarządzającej lub
tzw. shoulder surfing, czyli podejrzenie hasła wpisywanego przez użytkownika autentykującego się w systemie;
ƒƒ ataki brute force - po uzyskaniu dostępu do terminala uruchamiany jest
program testujący różne kombinacje
szyfrowania haseł, lub też w wolniejszej wersji próbujący kolejno różnych
haseł w celu autentykowania w systemie;
ƒƒ monitorowanie sieci, jest to jedna
z najgroźniejszych metod łamania
haseł; polega ona na przechwytywaniu pakietów zawierających pełny zapis sesji logowania, wraz z hasłami.
Hasła jednorazowe są znacznie mniej
wrażliwe na ataki niż wielokrotne. Nie
są one jednakże zabezpieczeniem doskonałym - wrażliwe są między innymi
na ataki:
ƒƒ man-in-the-middle polegający na
przechwyceniu hasła jednorazowego pomiędzy terminalem użytkownika a serwerem autentykacji i wysłaniu tego hasła jako własnego;
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
24
20 lat SOLIDEX
ƒƒ „wyścig” - włamywacz monitoruje
przesyłane przez użytkownika znaki
i przed wysłaniem przez użytkownika ostatniego znaku blokuje jego sesję, próbując się autentykować za pomocą uzyskanej części hasła uzupełnianej przez pozostały znak.
Jak widać z tych przykładów wykorzystanie jednoczynnikowego systemu autentykacji nie zapewnia wystarczającego bezpieczeństwa procesu identyfikacji użytkownika. Do
pełniejszego zabezpieczenia stosowane są obecnie metody silnej autentykacji.
Silna autentykacja
Definiujemy silną autentykację jako
taką, która używa dwóch z trzech
podstawowych składników autentykacji. Dla przykładu silną autentykacją będzie taka, która używa token
card (tokena) oraz numeru PIN użytkownika. Tego typu zabezpieczenie ma dwie zalety - jest odporne na
większość ataków na hasła wielokrotne i jednorazowe. Drugą zaletą jest
możliwość wykorzystania do accountingu dzięki dużej pewności prawidłowej autentykacji użytkownika. W
chwili obecnej dostępnych jest wiele
metod silnej autentykacji, włączając
w to również drogie rozwiązania łączące odczyt danych biometrycznych
z podawaniem hasła. Jedną z bardziej
rozpowszechnionych na rynku metod jest połączenie karty tokenowej
z indywidualnym numerem PIN użytkownika, rozwiązanie firmy Security
Dynamics.
SecureID
SecurID jest rozwiązaniem pozwalającym na implementację silnej autentykacji w środowiskach sieci teleinformatycznych. Opiera się ona na dwóch
czynnikach:
ƒƒ karta tokenowa, generująca kod
zmieniany co 60 sekund według specjalnego algorytmu;
ƒƒ numer PIN, będący elementem stałym w kodzie autentykującym.
Kod generowany przez token SecurID
jest zależny od dwóch czynników: od
czasu i od ziarna, czyli pewnej tajnej
wartości, unikalnej dla każdej karty, na
podstawie której wyliczany jest kod w
kolejnych, 60-cio sekundowych przedziałach czasu.
Użytkownik, inicjując proces autentykacji, musi wpisać cyfry, które aktualnie wyświetlane są na wyświetlaczu tokena, poprzedzone przez
unikalny, znany tylko użytkownikowi kod PIN.
Zmienność kodu w czasie zapewnia zabezpieczenie przed przechwyceniem
kodu dostępu przez nieautoryzowanego użytkownika (nawet w przypadku podejrzenia ciągu cyfr wpisywanego przez autentykującego się użytkownika, ciąg raz użyty do autentykacji jest
blokowany). Obecność czynnika niezależnego od użytkownika, czyli kodu
generowanego przez token, zabezpiecza system przed ujawnieniem hasła
na skutek stosowania technik psychologicznych.
Jednocześnie wymóg podania kodu
PIN zabezpiecza system przed dostępem osób niepowołanych, które weszły w posiadanie tokena.
Elementami systemu wchodzącymi w
interakcję z autentykującym się użytkownikiem są tzw. agenci (ACE/Agent).
Dzięki wykorzystaniu różnorodnych
agentów zabezpieczyć można praktycznie każde urządzenie w sieci, włączając w to wewnętrzne połączenia w
sieci, serwery dostępowe oraz wirtualne sieci prywatne. Dzięki wykorzystaniu tokenów SecurID wdrożenie rozwiązania nie jest uzależnione od stosowania specjalnych urządzeń takich
jak czytniki kart magnetycznych. Według niezależnego testu, o którym
szerzej pod koniec artykułu, oprogramowanie klienckie ACE/Agent jest jednym z lepszych rozwiązań w tym zakresie dzięki szerokiej gamie oprogramowania z którym może ono współpracować.
W chwili obecnej agenci dostępni są
dla następujących platform:
ƒƒ IBM AS/400;
ƒƒ IBM MVS, OS/390;
ƒƒ serwery Netscape;
ƒƒ Apple ARA;
ƒƒ Sun Solaris;
ƒƒ HP-UX;
ƒƒ IBM AIX;
ƒƒ Digital Unix;
ƒƒ Novell Netware Connect;
ƒƒ Open VMS;
ƒƒ SCO;
ƒƒ SGI Irix;
ƒƒ TACACS+;
ƒƒ UNIX;
ƒƒ Microsoft Windows NT.
Agenci kontaktują się z oprogramowaniem zarządzającym danymi o użytkownikach - ACE/Server, który pozwala na wprowadzenie scentralizowanych usług autentykacji w dużych sieciach korporacyjnych. Oprogramowanie ACE/Server dostępne jest w chwili
obecnej na platformach Sun Solaris, HP
-UX, IBM AIX oraz Windows NT.
Użytkownicy zdalni, pracujący za pośrednictwem Internetu, muszą podać
swój kod PIN oraz kod podany przez token SecurID w celu udostępnienia zasobów wewnętrznych.
Serwer dostępowy (ACE/Agent współpracujący z nim) kontaktuje się w celu
dokonania autentykacji z ACE/Server.
Na podstawie bazy danych zarejestrowanych tokenów i użytkowników,
ACE/Server określa czy dany użytkownik figuruje na jego liście, czy też nie.
Pozwala to na jednoznaczną identyfikację użytkownika próbującego uzyskać dostęp do zasobów. Rozwiązanie autentykacji w sieci lokalnej zakłada wykorzystanie agentów na wszystkich urządzeniach mających dostęp
do tej sieci.
Token SecurID
Oprócz modelu o formacie karty kredytowej dostępne są także tokeny - breloki, tokeny softwaerowe SoftID, toke-
© SOLIDEX, 2010
25
ny w postaci apletów oraz oprogramowanie pozwalające pełnić funkcję tokena PalmPilotowi.
Generowany co 60 sekund kod odczytywany jest w tokenach sprzętowych
z wyświetlacza LCD. Bardzo dokładny
zegar wbudowany w token zapewnia
pełną synchronizację z czasem ACE/Server, który, aby zapewnić równie dużą
dokładność powinien współpracować
z serwerem NTP (Network Time Protocol). Kod generowany jest na podstawie aktualnego czasu oraz ziarna, czyli pewnej wartości początkowej dla algorytmu. Algorytm generacji kodu jest
pseudolosowy, co sprawia, że nie jest
możliwe wyliczenie na podstawie poprzedniego kodu następnej wartości.
Token jest nierozbieralny, co uniemożliwia ingerencję w działanie układów
elektronicznych bez jego zniszczenia.
ziarna, przy użyciu algorytmu używanego przez token SecureID, wyliczana jest wartość, która powinna zostać
podana przez użytkownika. W przypadku poprawnego zidentyfikowania
(tj. podania prawidłowego kodu PIN
oraz kodu SecurID) ACE/Server blokuje daną sekwencję. Oznacza to, że w
ciągu trwania sześćdziesięciu sekund
jeden użytkownik może się autentykować tylko raz. Ma to bardzo duże
znaczenie dla bezpieczeństwa zasobów. Przechwycony ciąg cyfr mógłby zostać wykorzystany do autentykacji przez nieuprawnionego użytkownika gdyby możliwe było dwukrotne wykorzystywanie tego samego kodu. Wynika stąd jeszcze jeden
warunek - system musi mieć kontakt
z wiarygodnym serwerem NTP (są dostępne na rynku niedrogie rozwiązania sprzętowe).
Dodatkowe zabezpieczenie można
zapewnić wykorzystując token SecurID PINPAD. Wbudowana klawiatura
umożliwia wprowadzenie kodu PIN,
który jest dodatkowym czynnikiem
branym pod uwagę przy generowaniu kodu. Dzięki temu przejęcie samego tokena nie daje niepowołanej
osobie nawet części kodu niezbędnego do autentykacji. Dodatkową zaletą jest lepsze zabezpieczenie samego
kodu PIN, który nie może być w żaden
sposób przechwycony na drodze od
serwera dostępowego do ACE/Agent.
Oczywiście cała transmisja na tej drodze jest kodowana, jednakże wyeliminowanie jawnego podawania PINkodu eliminuje jedyny element stały,
czy też podejrzany przy wpisywaniu
na klawiaturze.
Bardzo istotną funkcją oferowaną przez
ACE/Server jest możliwość współpracy
z rozwiązaniami opartymi o serwery
TACACS, TACACS+ lub RADIUS. Dzięki
temu rozwiązanie SecureID może stanowić część większego systemu bezpieczeństwa. Należy bowiem pamiętać, że SecureID pozwala na jednoznaczne zidentyfikowanie osoby uzyskującej dostęp, a do nadania konkretnych uprawnień i śledzenia przebiegu
sesji (authorization i accounting) - należy wykorzystać współpracujące narzędzia. Ze względu na konieczność zapewnienia ciągłości funkcjonowania
w sieciach korporacyjnych ACE/Server
wyposażony został w funkcję hot-backup server, dzięki czemu w przypadku awarii serwera podstawowego jego
rolę natychmiast może przejąć serwer
zapasowy.
ACE/Server
Oprogramowanie ACE/Server jest punktem centralnym systemu autentykacji
SecurID. Każdy używany w sieci token
musi zostać zarejestrowany w ACE/
Server. Na podstawie numeru seryjnego określane jest ziarno tokena, i
na podstawie czasu w chwili dokonywania autentykacji oraz określonego
Test systemu
Według testu przeprowadzonego przez
pismo Network Computing rozwiązanie
proponowane przez Secure Dynamics
przewyższa rozwiązania konkurencyjne, zarówno pod względem kompleksowości oferty (rozumianej przez kompatybilność z rozwiązaniami innych producentów) jak i pod względem ilości do-
stępnych funkcji. Dużą zaletą jest również zastosowanie własnego, opatentowanego algorytmu synchronizacji czasu, zapewniającego realizację poprawnej autentykacji. Pomocą dla administratorów planujących duże wdrożenia
systemów bezpieczeństwa są dostarczane razem z tokenami pliki skryptowe dla ACE/Servera pozwalające na automatyczną rejestrację tokenów.
System wymaga sporej wiedzy już przy
konfiguracji. Choć z początku może się
to wydawać wadą, to dzięki temu można jednak uzyskać rozwiązanie elastyczne, w pełni dostosowane do potrzeb konkretnego zastosowania. Wynika stąd kolejna ważna zaleta technologii SecurID - skalowalność.
System oparty na ACE/ Server zapewnia większą funkcjonalność niż jest
potrzebna małym firmom, jednakże
wraz ze wzrostem przedsiębiorstwa
doceniane są możliwości skalowania
ACE/Servera. Dla organizacji korzystających z dużych sieci wieloplatformowych zastosowanie rozwiązania
SecurID z pewnością przynosi duże
korzyści.
Współpraca z Cisco Secure Access
Control Server (ACS)
Ze względu na popularność rozwiązań dostępowych firmy Cisco Systems jedną z ważniejszych funkcji
ACE/Server jest możliwość współpracy z oprogramowaniem CiscoSecure ACS. Wykorzystanie technologii CiscoSecure umożliwia realizację pełnego systemu kontroli bezpieczeństwa uwzględniającego wszystkie
niezbędne do tego celu elementy: autentykację (dokonywaną przez ACE/
Server), autoryzację i accounting, realizowane przez serwer ACS. Komunikacja pomiędzy SecurID a CiscoSecure, wykonywana jest przez API klienta
ACE/Agent. Połączenie ze sobą możliwości tych dwóch narzędzi daje do
dyspozycji system o potężnych możliwościach, umożliwiający kontrolę dostępu użytkowników do poszczególnych zasobów.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
26
20 lat SOLIDEX
Rewolucja Internetowa?
Atykuł z Nr 11-12/2000 (44)
Niniejszy artykuł zawiera główne tezy i streszczenie wykładu założyciela SOLIDEXu przygotowanego na
konferencję „Informatyka w przemyśle” zorganizowaną w Krakowie, w listopadzie 2000r.
U schyłku wieku
Mało kto pamięta zapewne jak jeszcze bardzo niedawno korzystaliśmy
z maszyny do pisania, teleksu czy telegramu, by zapisać, przekazać i odebrać myśli kierowane do naszych rozmówców, czy to prywatnych czy też
służbowych. Pewnie lepiej pamiętamy, jaką przed zaledwie kilku laty rewolucyjną zmianę dokonał w naszych
metodach komunikacji faks, z którego
chętnie korzystamy przecież i dzisiaj,
choć ja przynajmniej coraz rzadziej.
Ciągle jeszcze korzystamy z klasycznego telefonu, choć czy pamiętamy jeszcze panie telefonistki, które łączyły (godzinami) nasze rozmowy międzymiastowe, że nie wspomnieć o międzynarodowych, np. do Stanów Zjednoczonych, gdzie często po 24. godzinach
oczekiwania nadal nie mieliśmy oczekiwanego połączenia. Nie tak dawno
przecież ciężko było uzyskać połączenie telefoniczne pomiędzy dzielnicami Warszawy. Może pamiętamy jeszcze kilkukilogramowe pierwsze telefony komórkowe, z którymi paradowaliśmy po mieście częściowo niezależnieni od łaski monopolisty telekomunikacyjnego.
Jaki to miało wpływ na biznes? Ogromny! Jeśli chcieliśmy dowiedzieć się czegoś o produkcie, którym nasz potencjalny Klient lub Partner był zainteresowany prosiliśmy go o kilkanaście dni
cierpliwości. Po czym kierowaliśmy nasze zapytania do producenta lub jego
przedstawicieli pocztą, a w najlepszym
wypadku faksem i cierpliwie (od czasu
do czasu ponaglając telefonicznie) czekaliśmy na informacje. Potem spotkania
i rozmowy z Klientem, a na końcu kontrakt. I wtedy następował krok drugi
- zamawianie, uzgadnianie dostaw i
oczekiwanie na towary czy materiały.
W sumie jeden lub dwa miesiące. Głównie dlatego, że czas spędzony na komunikacji czyli wymianie informacji był
często dłuższy niż czas wyprodukowania interesującego nas dobra! Już wtedy, kto szybciej potrafił pozyskać informację, ten szybciej był w stanie nie tylko zdobyć kontrakt, ale przede wszystkim szybciej uzyskać za niego zapłatę (tę samą co opieszały konkurent).
Ostatnia dekada w Polsce
Nagle okazało się, że można inaczej - szybciej, skuteczniej i taniej.
Nie od razu wszyscy to zauważyli. W Polsce, podobnie zresztą jak
w krajach lepiej uprzemysłowionych, zaczęło się w świecie akademików, którym - z lenistwa chyba
- zachciało się komunikować miedzy sobą przy pomocy sieci komputerowych. I tak, jeszcze będąc
adiunktem w Instytucie Informatyki zacząłem zajmować się sieciami
komputerowymi, by sprostać jakże dziś prostemu zadaniu - połączenia Instytutu z jednym z kilku węzłów sieci EARN zafundowanej kilku
uczelniom przez IBM (chwała im za
to). Zadanie nie było proste (zresztą do dziś połączenie czegokolwiek
z IBM-mainframe należy do sztuki!).
Okazało się (na szczęście), że wśród
kilkunastu protokołów komunikacji istnieje coś takiego jak „IP” czyli
Internet Protocol. I tak wkrótce (zamiast połączenia IBM-mainframe w
węźle EARN) miałem przyjemność
wraz z moją firmą uczestniczyć w instalacjach dwóch pierwszych profesjonalnych węzłów polskiego Internetu (Kraków - Warszawa, 1991rok).
A dalej poszło już samo, jak lawina.
Od raptem pięciuset użytkowników
dziewięć lat temu do chyba 5 milionów dzisiaj!
Nie wszyscy pamiętają zapewne, kiedy zaczęli powszechnie używać tajemniczego adresu internetowego
na wizytówkach (3-4 lata temu), kiedy powstały pierwsze serwisy WWW
(kilkadziesiąt serwisów akademickich
powstało w 1994 roku). Nasz biuletyn
firmowy „integrator” pojawił się drogą elektroniczną już 5 lat temu, ale
prawdziwy i powszechnie widoczny (w mediach) boom internetowy w
Polsce zaczął się zaledwie rok temu!
Przypomnę jeszcze, że pierwsze pionierskie połączenia placówek banków w sieć rozległą miało miejsce dopiero 6 lat temu, a kilka największych
polskich banków dokonało tego dopiero dwa lata temu.
Masa krytyczna
No i stało się - masa krytyczna internetu została przekroczona - nie wypada
nie mieć dzisiaj adresu internetowego i
nie używać poczty komputerowej. Dotarło to nawet do konserwatywnej raczej części pokolenia parającej się zarządzaniem. Każda szanująca się firma
stara się (z lepszym czy gorszym skutkiem) stworzyć swoją wizytówkę wywieszając ją na „inteligentnym słupie ogłoszeniowym” zwanym WWW.
A konserwatywni zwykle ludzie finansów na całym świecie dali się zwariować i uwierzyli w tzw. „nową ekonomię
internetową” powodując nieracjonalny
wręcz boom na światowych giełdach,
gdzie młode spółki „internetowe” osiągnęły takie ceny, że aby je kupić trzeba
z góry zapłacić więcej niż stokrotny ich
zysk roczny (czyli musiałyby tak pracować 100 lat!).
© SOLIDEX, 2010
27
Moda czy racjonalna potrzeba
Czy ma to jakieś racjonalne podstawy?
Czy jest to tylko kolejna moda? Cóż
takiego może ten internet, iż jest tak
pożądany zarówno przez biznes, jak
też przez użytkowników domowych?
Dużo może! I nie jest to moda.
Przede wszystkim należy wyjaśnić co to
jest „internet”?
Podam dwie definicje.
Internet technicznie
Pierwsza, bardziej techniczna, definicja
określi „internet” jako ogólnoświatową sieć wzajemnie połączonych komputerów (hostów) porozumiewających
się wspólnym językiem (protokołem
komunikacji zwanym Internet Protocol, IP). Każdy z tych komputerów jest
równoważny innym, określony jednoznacznym adresem wyróżniającym
go w sieci. Każdy z tych komputerów
może świadczyć dla wszystkich innych
szeroki pakiet usług, zwanych usługami sieciowymi (podstawowe to np.
poczta, transfer plików i serwis WWW).
I tu trzeba dodać jeszcze pojęcie „intranet”, które ... jest tym samym technologicznie tworem co „internet”, a jedyną
różnicą jest ograniczenie geograficzne do zasięgu budynku, korporacji czy
dowolnej organizacji i przeznaczenie
do wykorzystania przez upoważnione
osoby (mówi się o sieci prywatnej czy
korporacyjnej). Dla jasności: Gdy mówię „internet” myślę „Internet oraz tyle
Intranetów, ile prywatnych sieci”. Intranety oddziela się od Internetu ... łącząc
poprzez tzw. ściany ogniowe (firewall).
Internet ... socjologicznie
Druga definicja ma raczej charakter socjologiczny - „internet” to spontaniczne zjawisko rozwijające się na świecie pod koniec XX wieku polegające
na masowym łączeniu się ludzi w sieć
komunikacyjną pozwalającą im czuć
się bliżej siebie, niwelować odległości,
cieszyć się i bawić, pracować i zarabiać
pieniądze oraz ostatnio nawet podglądać innych w ich prywatnym życiu. Zja-
wisko to rozwija się w fantastycznym
tempie we wszystkich zakątkach świata, a jedynym co może go ograniczyć
to monopole telekomunikacyjne, które starają się zapobiegać wypieraniu
klasycznej metody komunikacji głosowej (źródło ich dochodów) ograniczając (m.in. poprzez ceny) możliwości dołączania się kolejnych szaleńców do
światowej pajęczyny połączeń internetowych. Zjawisko rozpowszechnia
się w szalonym tempie zmieniając rzeczywistość, sposób postrzegania świata, sposób wychowania młodzieży, metody konkurowania i sposoby zarabiania pieniędzy. Podstawę rozwoju zjawiska zwanego internetem jest brak możliwości zapanowania nad jego pączkowaniem przez dowolną z organizacji
oraz równość podmiotów uczestniczących w sieci. Na koniec XX wieku powstaje globalne społeczeństwo internetowe.
Co dziś daje internet przedsiębiorcy
(SOLIDEXowi)
Spróbuję ocenić na podstawie firmy,
którą dziesięć lat temu zakładałem (poczynając od maszyny do pisania, teleksu i tradycyjnych ksiąg rachunkowych
zwanych „amerykankami”). Już od
dawna każdy pracownik SOLIDEXu nie
tylko ma, ale musi na co dzień korzystać na swym stanowisku pracy z komputera połączonego z innymi w sieć
korporacyjną (intranet) łączącą nasze
oddziały i włączoną na stałe w strukturę globalnego internetu. Umiejętność
korzystania z metod i zasobów internetu jest tak samo podstawowa jak umiejętność czytania, pisania i mówienia!
ƒƒ Po pierwsze - poczta komputerowa
(każdy zwykle zaczyna od tej usługi sieciowej). Czas przesłania wiadomości zredukowany do sekund. Błyskawiczna propagacja informacji do
wybranej grupy odbiorców. Możliwość wysłania i odbioru informacji
w dowolnym momencie (asynchronicznie) bez przeszkadzania sobie w
pracy, bez zbędnych spotkań w błahej sprawie. Z szansą na odpowiedź
za chwilę z dowolnego zakątka globu.
Z automatycznym zapamiętaniem
przekazanej wiadomości i odpowiedzi. Z możliwością przesłania „w załączeniu” rysunku, tabeli, tekstu, ruchomego obrazu. Nie udaje się na
razie przesłać smaku i zapachu (na
szczęście, bo ludzie przestali by się
spotykać!).
ƒƒ Po drugie - wewnętrzne ogłoszenia i
biblioteka wszelakiej użytecznej w firmie wiedzy. Wewnętrzny serwis WWW
stał się podstawową metodą przekazywania informacji do Pracowników. Zarówno w dół struktury (zarządzenia, regulaminy, instrukcje), jak i w poprzek (
materiały szkoleniowe, projekty, teksty
techniczne, nowości itp.).
ƒƒ Po trzecie - dostęp do zewnętrznych
składnic wiedzy: możliwość skorzystania z dowolnych zasobów serwisów WWW na świecie bez potrzeby
zbędnych wyjazdów, zbędnej komunikacji, straty czasu czy zostawiania
rodziny na długie dni delegacji.
ƒƒ Po czwarte - dostęp do specjalizowanych serwisów naszych głównych
partnerów technologicznych, czyli do bazy wiedzy o produktach oraz
do bazy wiedzy i bezpośrednich kontaktów z służbami serwisowymi producentów.
ƒƒ Po piąte - możliwość szybkiego zamawiania i sprowadzania towarów
i materiałów z dowolnego zakątka
świata, a także śledzenia drogi tych
towarów do miejsca dostawy (ecommerce).
ƒƒ Po szóste - możliwość dostępu do olbrzymich składnic specjalizowanego
oprogramowania wykorzystywanego przez naszych specjalistów do budowy ... internetu.
ƒƒ Po siódme - możliwość informowania
o naszej działalności zainteresowanych, tanio, bez nachalności, w każdej chwili... to nasz serwis WWW.
ƒƒ Po ósme - możliwość dostępu do wspólnych baz danych z dowolnego oddziału
(księgowość, kasy, bazy adresowe, oferty, serwis i wiele innych).
ƒƒ Po dziewiąte - możliwość zarządzania i administrowania zasobami komputerowymi z jednego miejsca (taniej tak i bezpieczniej)
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
28
20 lat SOLIDEX
ƒƒ Po dziesiąte - między oddziałowe
(międzymiastowe) rozmowy telefoniczne bez korzystania z połączeń
telekomunikacyjnych (stały i z góry
określony koszt i brak stresu wywoływanego długą i kosztowną rozmową na odległość)
Co zrobimy za chwilę?
Będziemy szkolić Pracowników przez
Internet (E-learning) korzystając z
technologii telewizji przez Internet (IP/TV), bo klasyczne metody są
zbyt drogie i zawodzą w tak szybko rozwijającej się dziedzinie. A za
2-3 lata, gdy pojawi się technologia
UMTS, gdy powszechna będzie telefonia internetowa (IP-phone) i telewizja przez internet (IP/TV) prawdopodobnie każdy będzie wszędzie
miał dostęp do głosu, obrazu i danych ze swojego przenośnego telefono-komputero-telewizora, z dowolnego miejsca, z pożądaną jakością głosu, obrazu...
A co daje to wszystko dziś i co da
jutro mnie, zarządzającemu firmą?
Oprócz pewnego komfortu zarządzania silnie rosnącą firmą (zarówno
w sferze przychodów, jak i zasobów
ludzkich) oraz dużo większej odporności na znaną „chorobę wzrostu”
(wynikającą zwykle głównie z narzutu komunikacyjnego wywołanego wzrostem)technologia internetowa daje podstawę szansy na dalszy
rozwój.
Są tylko dwa powody korzystania z sieci komputerowej, Internetu i Intranetu:
ƒƒ konieczność obniżania kosztów dla
zachowania konkurencyjności na
rynku
ƒƒ zdolność do konkurowania i bycia
konkurencyjnym
I nie ma w tym nic odkrywczego. To
stara prawda, która jest ekonomicznym
uzasadnieniem fascynacji Internetem,
prawdziwej rewolucji internetowej
przełomu wieków. Jest dowodem na
to, iż nie jest to moda, ale trwała zmiana rzeczywistości
Co nas czeka?
Bardzo dużo nieustannych zmian w
każdej dziedzinie naszego życia. W
jego prywatnej i służbowej części. Najbliższe lata będą jedną wielką zmianą,
którą przetrwają wyłącznie Ci, którzy
zachowają zdolność do ciągłych zmian,
którzy nadążą PRZED zmieniającą się
rzeczywistością. Nie wytrzymają Ci i te
przedsiębiorstwa, które będą chciały
kontynuować działalność (w domyśle
rentowną) nie zmieniając metod działania, nie inwestując w przyszłość poprzez inwestycje (ciągłe i nieskończone!) w sieć pozyskiwania i wymiany informacji.
Nie da się już żyć obok internetu, nie
zauważając zmian jakie wywołuje. Będziemy popychani coraz szybszym
tempem tych zmian. Internet już za 2-3
lata na trwałe wejdzie do naszych domów, samochodów, nie mówiąc już
o miejscach pracy i szkole. Już od najmłodszych lat dzisiejszych szkolnych
pokoleń zaczął się konkurencyjny wyścig z czasem, o wiedzę, o lepsze i lepiej płatne miejsce pracy, o szybszy dostęp do informacji.
Pokolenie pięćdziesięciolatków marzyło by ojciec kupił im rower, czterdziestolatków o radiu tranzystorowym,
trzydziestolatków o samochodzie. Dzisiejszy dwudziestolatek prosił ojca
„kup mi komputer”, co rodzice najczęściej uznawali za ekstrawagancję młodego człowieka. Dzisiejszy trzynastolatek mówi „tato, kup mi łącze do internetu”, a jeśli rodzic spełni tę jego zachciankę - potrafi żeglować godzinami
szukając wiedzy, zabawy, przyjaźni,....
szuka swojej nadchodzącej w ogromnym tempie przyszłości doby internetowej XXI wieku.
Rewolucja internetowa?!
Tak jak nikt nie przewidział pod koniec
XIX wieku znaczenia i skutków wynalezienia maszyny parowej, tak i my jeszcze kilka lat temu, sto lat później, nie
potrafiliśmy przewidzieć, że niepozorna i praktycznie nieznana sieć Internet
używana jeszcze dziesięć lat temu pra-
wie wyłącznie przez akademików rozwinie swe skrzydła na wszystkie dziedziny życia i zmieni naszą rzeczywistość w niewyobrażalny sposób. Tylko
nieliczni potrafili przewidzieć dziesięć
lat temu, czym może być Internet i wyprzedzić tę wielką zmianą. Nikt nadal
nie jest w stanie przewidzieć czym będzie za lat trzy, pięć czy piętnaście.
Druga Rewolucja Przemysłowa?
Uczestnicząc aktywnie od 10 lat w
rozwoju Internetu w Polsce nie wątpię, że internet jest tym dla ludzkości,
czym maszyna parowa sto lat temu.
Nie możemy nie docenić, czym jest
internet dla przedsiębiorczości, dla
przedsiębiorcy, dla zwykłego człowieka.
Żyjemy w czasie Drugiej Rewolucji
Przemysłowej, którą kreuje Internet.
Kto ją przeżyje? Kto osiągnie sukces?
Tylko Ci, którzy będą wyprzedzać
zmiany. Przegrają Ci, którzy je przegapili. Różnica od normalnie następujących w historii zmian leży w ich
tempie. Tempo rewolucji jest nieprzewidywalne.
Z.S.
Autor artykułu, Zbigniew Skotniczny doktor informatyki, były adiunkt AGH
w Krakowie - jest założycielem krakowskiego SOLIDEXu (1990), która pod jego
nadzorem już od dziesięciu lat jest wiodącą firmą wdrażającą infrastrukturę
internetową w Polsce. O randze firmy
świadczyć może partnerstwo z takimi
gigantami jak Cisco Systems i Sun Microsystems.
Dzisiejsza sprzedaż technologii internetowych realizowana przez SOLIDEX
sięga ponad 150 mln złotych rocznie.
Klientami są największe banki, korporacje przemysłowe i telekomunikacyjne oraz jednostki budżetowe. Firma zatrudnia ok. 150 osób w czterech
placówkach - centrali w Krakowie i oddziałach w Warszawie, Gdańsku i Poznaniu. Swoje filie firma ma również w
Mińsku na Białorusi oraz w Hamburgu
w Niemczech.
© SOLIDEX, 2010
29
ContactCenter - wielomedialny kontakt z klientem
Artykuł z Nr 7-8/2001 (48)
„Telefon ma za dużo wad, aby był traktowany poważnie jako środek komunikacji. Urządzenie z natury nie ma
żadnej wartości.” 1876, Western Union internal memo
„Wiele firm specjalnie szkoli telefonistki, aby potrafiły rozmawiać z klientami okazując im tonem głosu
zainteresowanie i pełne zaangażowanie. Rozmówca będzie przekonany, że to firma zainteresowana jest
jego osobą. Pamiętajmy o tym, kiedy jutro podniesiemy słuchawkę.” Dale Carnegie, 1936, wydawnictwo:
Simon & Schuster, Inc.
Wprowadzenie
Telefoniczne systemy obsługi klienta
stanowią obecnie istotny element prowadzenia każdej działalności na współczesnym rynku. Historia tych systemów rozpoczęła się w zamierzchłej
epoce ręcznych central telefonicznych.
Centrale ręczne wymagały dużej liczby telefonistek. Połączenie z telefonistką było czymś całkowicie naturalnym - u niej zamawiało się rozmowę. Z
czasem jednak, centrale ręczne zaczęły
ustępować miejsca centralom automatycznym. Powstał więc z jednej strony
problem - co mają robić telefonistki, a
z drugiej - pomysł, że skoro telefonistka
może przyjmować i realizować zamówienia na rozmowy, można też za jej
pośrednictwem zaoferować abonentowi - klientowi więcej: informację, usługę a nawet - towar.
Okazało się przy tym, że wykorzystanie
telefonu, jako narzędzia do kontaktu z
klientem, może być dobrym sposobem
oszczędzania a nawet zarabiania pieniędzy. Telefoniczne systemy obsługi
klienta są obecnie, w krajach o dobrze
rozwiniętej sieci telekomunikacyjnej,
bardzo ważnym i wręcz niezbędnym
elementem prowadzenia każdej działalności gospodarczej.
Dla każdego przedsiębiorstwa, niezależnie od celu i misji firmy, klienci są
po prostu źródłem pieniędzy. Dla tego
większość działań podejmowanych
przez firmy w stosunku do klientów służy temu, by przynosili jeszcze większe
zyski. Najważniejszą wówczas sprawą
staje się odpowiednie zarządzanie relacjami z klientem, utwierdzanie w jego
świadomości trafnego wyboru tej właśnie firmy oraz przywiązywanie go do
własnych towarów i usług. W obliczu
rosnącej konkurencji, aby wygrać, należy ciągle doskonalić metody kontaktu z klientami oraz odpowiednio wykorzystywać bazy informacji na temat
klientów.
Według badań zastosowanie Contact Center integrującego nowoczesne formy kontaktu takie jak telefon,
fax, WWW, e-mail oraz telefonię IP
przynosi duże korzyści finansowe kontakt bezpośredni z klientem, twarzą w
twarz jest około pięć razy droższy od
kontaktu telefonicznego, a nawet do
dziesięciu razy droższy od kontaktu
przez internet.
Call Center a nowe technologie
Usługi Call Center stają się coraz bardziej wyrafinowane: technologie internetowe oraz rozwój telefonii komórkowej pozwalają na wykorzystywanie w
kontaktach z klientami takich usług jak:
krótkie wiadomości tekstowe (SMS),
chat, poczta elektroniczna, witryny
WWW oraz telefonia IP. Rola tych nowych metod kontaktu z klientami będzie stale rosła.
Contact Center i koszty
uruchomienia
Aby uruchomić swoje własne Contact
Center najprostszym rozwiązaniem
wydawało by się zatrudnienie tak dużej liczby osób obsługujących rozmowy - telefonistek i zainstalowanie tak
dużej liczby łączy, aby przychodzące
połączenia w ogóle nie czekały na obsługę (każda rozmowa trafia do systemu, bo są wolne łącza i jest natychmiast obsługiwana, bo są wolne telefonistki). Koszt utrzymania takiego systemu jest jednak bardzo duży. Zarówno posiadanie i używanie dużej liczby
łączy, które nie są w pełni wykorzystane, jak i zatrudnianie dużej liczby pracowników, którzy większość czasu spędzają czekając na połączenie i w konsekwencji nie pracują zbyt efektywnie,
jest kosztowne. Zastosowanie systemu
obsługi klienta ma zmniejszyć te koszty
w sposób jak najmniej oddziałujący na
rezultaty pracy (czyli liczbę i jakość obsłużonych połączeń).
Jedna z firm posiadająca od wielu lat
swoje Call Center z chwilą pojawienia
się możliwości kontaktowania z klientem przez WWW oraz e-mail wprowadziła te usługi również u siebie. Cztery lata temu zaledwie ułamek procenta
wszystkich kontaktów odbywał się za
pomocą tych mediów. Dziś ponad 20
procent. W ten sposób powstała idea
Contact Center czyli Call Center wykorzystującego również inne technologie
do porozumiewania się z klientem internet, poczta tradycyjna i e-mailowa,
faks i inne. Z technicznego punktu widzenia jest to miejsce w którym obsługuje się wyżej wymienione media do
kontaktów z klientami.
Aby zminimalizować koszty tworzenia Call Center, przy jednoczesnym
zachowaniu odpowiedniego pozio-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
30
20 lat SOLIDEX
mu usług, należy kłaść nacisk na efektywność obsługi klientów. W tym celu
tworzy się bazy wiedzy, zawierające
odpowiedzi na najczęściej zadawane pytania. Pomocą w poprawie efektywności obsługi są również systemy
przyjmujące połączenie, automatycznie zadające pytania klientowi na które klient może odpowiadać za pomocą klawiatury tonowej aparatu. Aplikacje obsługujące system korzystają również z informacji zapisanych w
systemie i identyfikowanych na podstawie numeru telefonicznego klienta. Konsultant przyjmujący rozmowę
ma już wyświetlone na ekranie informacje na temat klienta zdobyte podczas wcześniejszych kontaktów. Zależnie od przeznaczenia systemu,
jego wielkości i kosztu poszczególne
funkcje realizowane są w mniej lub
bardziej wyrafinowany sposób, przy
użyciu dostępnych mechanizmów
sprzętowych i programowych. Trzeba
tu powiedzieć, że technologia nie pozostaje w tyle za potrzebami.
Nowoczesne rozwiązania pozwalają
na realizację Contact Center zarówno
posiadające jedną siedzibę, jak i zbudowane z wielu oddalonych od siebie siedzib zorganizowanych funkcjonalnie jako jeden zcentralizowany
system. Specyficzne cechy systemów
Contact Center to: inteligentne kierowanie rozmów, automatyczna dystrybucja połączeń (ACD), integracja telefonii z sprzętem komputerowym (CTI),
interaktywna odpowiedź głosowa
(IVR), kolejkowanie rozmów, raportowanie. Otwarte standardy umożliwiają
również wspieranie kontaktów z klientami wykorzystując WWW oraz e-mail.
Zastosowanie nowoczesnej architektury VoiceOverIP umożliwia wykorzystanie istniejącej infrastruktury sieciowej firmy oraz obniża koszty administracji. Ponadto pozwala na łatwe rozszerzenie możliwości Contact Center
pozwalając na włączenie do struktury systemu rozproszonych biur, agentów pracujących w domach oraz specjalistów pracujących poza strukturą
systemu.
Budowa typowych systemów
Call Center
Najważniejszym elementem Call Center jest serwer CTI (Computer Telephony Integration), będący pośrednikiem między centralą telefoniczną, telefonami konsultantów i lokalną siecią
komputerową. Serwer ten komunikuje się z centralą za pomocą protokołu
CSTA (Computer Supported Telecommunication Applications). Po stronie
sieci lokalnej do komunikacji najczęściej wykorzystuje się protokoły TAPI
(Telephony Application Programming
Interface) oraz TSAPI (Telephony Services Application Programming Interface) służą one do przesyłania danych
do aplikacji i systemów CRM. W nowoczesnych realizacjach całość obsługi głosowej odbywa się z wykorzystaniem protokołu IP. Serwer CTI spełnia
kluczową rolę w procesie obsługi zgłoszeń: często wyposażony jest w moduł IVR (Interactive Voice Response)
który jest punktem pierwszego kontaktu z klientem, odbierając przychodzące połączenia, udzielając standardowych objaśnień i określa profil zainteresowania klienta za pomocą zapytań głosowych na które klient może
odpowiedzieć wybierając odpowiednie przyciski na tonowej klawiaturze
aparatu; przełącza rozmowy do odpowiednich konsultantów na podstawie
informacji o ich dostępności oraz na
podstawie danych o kliencie zgromadzonych w bazach danych; podtrzymuje również połączenie gdy wszyscy
konsultanci są zajęci, lub gdy klient nie
zdecydował się jeszcze na konkretną
opcję obsługi. Dane zbierane podczas
kontaktu z klientem mogą być składowane w prostych bazach danych lub
w złożonych systemach wspomagania
relacji z klientami CRM (Customer Relationship Management).
ACD, Automatic Call Distribution
ACD (Automated Call Distribution) to
jeden z podstawowych programów, w
które wyposażone jest prawie każde
centrum, w każdym razie każde, które prowadzi obsługę telefonów przychodzących. Zadaniem ACD jest au-
tomatyczne kierowanie rozmów do
określonych agentów lub grup agentów. Warunki dystrybucji są zwykle
dość proste i zależą od numeru telefonu, który wykręciła osoba dzwoniąca lub od czasu, w którym zadzwoniła. W ACD pojawia się tendencja do coraz bardziej złożonych przeniesień: zależnych od regionu, produktu, planowanego zakupu lub potrzeby pomocy
technicznej, a także przeniesień warunkowych. Jako element pakietów
ACD obecne stają się aplikacje do planowania natężenia ruchu i ustalenia
odpowiadającego temu natężeniu poziomu zatrudnienia telemarketerów w
określonym czasie.
Automatyczne rozdzielanie wywołań
(ACD = Automatic Call Distribution)
stanowi podstawowy mechanizm pracy systemu obsługi klienta. Umożliwia on równomierny rozdział połączeń
przychodzących pomiędzy osoby obsługujące, nadzór nad odbywającymi
się połączeniami, zarządzanie ruchem
i prowadzenie statystyk. Na system automatycznego rozdzielania wywołań
składa się kilka elementów:
ƒƒ kolejkowanie wywołań - w sytuacjach natłoku pozwala na przyjęcie większej liczby połączeń, niż
może być w danej chwili obsłużonych przez telefonistki. Mechanizmy
kolejkowania wywołań powinny
umożliwiać nadzór nad liczbą oczekujących połączeń, przekazywanie
ich pomiędzy kolejkami, nadawanie
priorytetów poszczególnym wywołaniom;
ƒƒ zapowiedzi słowne - nadawane przed
zestawieniem połączenia lub w jego
trakcie, pozwalają na poinformowanie dzwoniącego o dostępnych możliwościach, zajętości wszystkich stanowisk, konieczności oczekiwania
itd. W przypadku dłuższego oczekiwania na następny etap zestawienia
połączenia zamiast zapowiedzi może
być nadawana muzyka;
ƒƒ raporty i statystyki - dostarczane
przez system ACD, stanowią źródło
informacji o bieżącym stanie systemu i efektywności jego działania w
© SOLIDEX, 2010
31
zdefiniowanych przedziałach czasu
(np. raporty godzinne, dzienne, tygodniowe itd.). Pozwalają one na ocenę
pracy poszczególnych telefonistek,
grup telefonistek, całego systemu i
analizę jego efektywności;
ƒƒ automatyczne rozdzielanie wywołań wychodzących - stosowane jest
w systemach telemarketingowych,
w których inicjatywa zestawiania połączeń leży po stronie systemu a nie
abonentów.
W systemach takich nie oczekuje się na
połączenia przychodzące od abonentów, ale generuje się połączenia wychodzące na podstawie zdefiniowanych procedur. Numery abonentów
pobierane są automatycznie z bazy
danych i wybierane. Po zgłoszeniu się
abonenta połączenie jest kierowane
do telefonistki, która rozpoczyna i prowadzi rozmowę. Krok ten może być poprzedzony nadaniem do abonenta zapowiedzi słownej lub informacji o zestawianym połączeniu.
IVR, Interactive Voice Response
IVR (Interactive Voice Response) polega
na zróżnicowaniu przekazu i treści rozmowy w zależności od informacji zebranych wcześniej od rozmówcy. Zbieranie informacji polega z reguły na obsłużeniu początku rozmowy w sposób
automatyczny i poproszeniu dzwoniącego o wybranie tych opcji, które interesują go najbardziej: np. „jeżeli chcesz
się dowiedzieć o sieci dystrybucji wciśnij 1, jeżeli chcesz zamówić materiały
informacyjne wciśnij 2...” itp.
W USA 70-80 proc. czasu rozmów obsługiwanego jest w ruchu automatycznym za pomocą systemów IVR.
Pozwala to w dużym stopniu rozładować ruch przez automatyczne odpowiadanie na najczęściej zadawane
pytania oraz podnosić efektywność
działania centrum. Element, który najprawdopodobniej dodatkowo zwiększy ów próg, to rozpoznawanie mowy
(speech recognition). Już w tej chwili działają systemy rozpoznające wypowiedzi dzwoniących, co pozwala
na obsługę systemu nie tylko z telefonów tonowych, ale i z impulsowych
oraz umożliwia dużo większą interakcję z klientem. Obsługa taka jest również bardziej intuicyjna i przyjazna dla
użytkownika. Trwają prace nad rozwojem systemów rozpoznających ciągłe
wypowiedzi (w odróżnieniu od oderwanych słów wypowiadanych po poproszeniu o nie) oraz rozpoznawaniem
złożonych ciągów liczbowych (np. sto
dwadzieścia trzy w odróżnieniu od jeden dwa trzy).
CTI Computer Telephony
Integration
CTI to aplikacje, których zadaniem jest
zintegrowanie dwóch dotychczas odrębnych systemów: sieci telefonicznej i
sieci komputerowej. W trakcie połączenia telefonicznego następuje transfer
danych z sieci komputerowej. Pozwala to na dotarcie do danych dzwoniącego, zanim zostanie odebrane połączenie. W swej najprostszej formie CTI objawia się pojawieniem ekranu z danymi klienta na monitorze telemarketera
w sposób automatyczny (screen popping). Oprócz ułatwienia pracy agenta,
CTI pozwala na zdobywanie informacji samemu zainteresowanemu (automatyczne pobranie danych o sobie, np.
status zamówień, stan konta itp.). CTI
daje możliwość uruchomienia funkcji
fax-on-demand, której zadaniem jest
udostępnienie osobie dzwoniącej niezbędnych informacji w formie wiadomości faksowej wysyłanej pod podany
przez klienta numer. CTI, w swojej czystej formie, można zastosowania tylko w połączeniu z usługą DNIS (Digital Number Identification Service), czyli
automatyczną identyfikacją rozmówcy.
Ponieważ możliwości rozpoznawania
numeru są ograniczone, więc wykorzystuje się połączenie wielu elementów
IVR i ACD w celu zdobycia informacji na
temat osoby dzwoniącej, np. w postaci
osobistego numeru identyfikacyjnego.
Łącząc elementy ACD, IVR i aplikacje
CTI tworzy się złożone programy obsługi w rodzaju CRM (Customer Relationship Management) i EIM (Enterprise Interaction Management).
Integracja z systemami CRM
CRM jest to program zarządzania stosunkami z klientem, który pozwala na
zautomatyzowanie procesu sprzedaży, wsparcia i serwisu dla klientów,
dzięki zbieraniu szerokiego zakresu informacji na ich temat. CRM daje
możliwość śledzenia i analizy rozwoju kontaktów pomiędzy firmą a klientem oraz doboru narzędzi marketingu i sprzedaży w zależności od historii tych kontaktów. EIM, z kolei, to program zarządzania reakcją przedsiębiorstwa, który automatycznie różnicuje odzew firmy na zgłoszenia klientów kontaktujących się z centrum telefonicznym. Na podstawie zebranych danych klient zostaje odpowiednio zaszeregowany, a następnie
w zależności od przypisanego poziomu serwisu lub celu handlowego jest
łączony z odpowiednią osobą. I tak
na przykład, klient o wysokich obrotach handlowych przekazywany będzie do pracownika wyższego szczebla, a klient zalegający z zapłatą za
fakturę łączony będzie automatycznie z pracownikiem działu windykacji.
Zadaniem połączonych technologii,
oprócz wzrostu produkcyjności centrów telemarketingowych, jest ułatwienie i usprawnienie kontaktów
z punktu widzenia klienta. Połączenie informacji o klientach zebranych
w systemie CRM, oraz innych bazach
danych z systemem Call Center pozwala na szybkie udzielanie informacji klientom; np. o stanie konta, należnościach, przeprowadzanych operacjach itp.
Taka formuła komunikowania się będzie uatrakcyjniana dodatkowo możliwością otrzymania materiałów drukowanych (fax-on-demand) czy też
obejrzenia zdjęć lub filmów wideo,
Medium wprowadzającym te nowości będzie Internet. Atrakcyjność Internetu i poczty elektronicznej polega na łatwości ich obsługi i na wykorzystaniu przyjaznych użytkownikowi interfejsów. Nawigacja za pomocą
klawiatury i myszki, przy wykorzystaniu zmysłu wzroku jest bardzo atrak-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
32
20 lat SOLIDEX
cyjna dla wielu ludzi. Do tych zaś, których odrzuca skomplikowanie techniczne i „samoobsługowość” Internetu, firmy kierować będą ofertę przez
konsultantów - telemarketerów internetowych. Konsultanci mogą na przykład oglądać te same strony internetowe co ich rozmówca. Już obecnie takie możliwości dają dostępne programy np. Microsoft NetMeeting czy Netscape Collabra.
Scenariusz pracy systemu
Podczas telefonu do Call Center z
sieci publicznej, połączenie zostaje przyjęte przez system ACD, który
na podstawie przyjętych wcześniej
kryteriów podejmuje decyzję dotyczącą dalszego zestawienia połączenia. W zależności od takich kryteriów
jak: pora dnia, numer telefonu dzwoniącej osoby, wcześniejszych kontaktów, dostępności konsultantów i innych system ACD przełącza połączenie: do innego systemu ACD (w przypadku rozproszonego Call Center), do
systemu IVR lub do odpowiedniego
konsultanta. Podobną decyzję podejmuje system ACD po dokonaniu wyboru odpowiedniej opcji w systemie
IVR (ponowne zestawienie połączenia na podstawie dodatkowych informacji uzyskanych przez IVR). Zanim jednak rozmowa zostanie przełączona do stanowiska jednego z dostępnych konsultantów, system CTI
na podstawie zebranych informacji
o połączeniu (numer telefonu, opcje
wybrane w systemie IVR itp) identyfikuje dzwoniącego klienta i odpytuje bazę danych kontaktów o informacje na temat danego klienta. Informacje te zostają wyświetlone na ekranie
stacji konsultanta przyjmującego połączenie.
Przyszłość Contact Cener
Dla klientów korzystających z Sieci do
kontaktów z firmą opracowuje się technologie na bazie istniejących koncepcji telemarketingowych: przykładem
może być idea IWR (Interactive Web Response). Koncepcja IWR jest identyczna
jak koncepcja IVR: informacje o klien-
cie są zbierane zanim agent się z nim
skontaktuje. Dane zbierane są na podstawie analizy, które witryny w Internecie odwiedzała dana osoba oraz na których stronach przebywała przez dłuższy czas. Taka analiza pozwala na zindywidualizowanie kontaktów z klientem w podobny sposób, jak dzieje się
to w programach CRM.
Poczta elektroniczna stanie się jedną
z najważniejszych form porozumiewania się w kontaktach handlowych.
Charakteryzuje się dużą dostępnością,
korzystanie z niej nie wymaga prawie
żadnych nakładów inwestycyjnych.
Jednakże poczta elektroniczna niesie
ze sobą zagrożenia - zagrożenia spadku jakości w kontaktach z klientami. W
przeprowadzonym w USA w 1998 roku
przez firmę Jupiter Communications
badaniu okazało się, że 42% badanych
firm nie odpowiadało na e-mail, odpowiadało nań po okresie dłuższym niż
5 dni lub w ogóle nie oferowało kontaktu za pośrednictwem poczty elektronicznej na swoich stronach internetowych. Aby uniknąć tak negatywnego efektu, należy wykorzystać istniejące możliwości: są nimi właśnie Contact Center.
Rozwój nowych rozwiązań telemarketingowych będzie szedł w kierunku integracji elementów multimedialnych i internetowych, w ramach
istniejących aplikacji, takich jak ACD,
IVR i CTI i łączenia ich w jeden system. Nie zapominajmy także, że Internet oferuje dużo tańsze połączenia niż sieć telefoniczna. Możliwość
korzystania z darmowych telefonów
(VoIP) jest zachętą do zdwojenia wysiłków w celu integracji tradycyjnych
technologii telemarketingowych z
technologiami komputerowymi. W
przyszłości nowe programy kompresji danych umożliwią zarówno rozmowę, jak i połączenia wideofoniczne. O ile część klientów nie będzie
chciała pokazywać swojej twarzy
w trakcie połączenia, o tyle z pewnością wszyscy chętnie ujrzą twarz
konsulanta.
Podsumowanie
Nagły wzrost zainteresowania centrami serwisowymi odzwierciedla najważniejsze kierunki rozwoju w europejskiej ekonomice. Firmy muszą się
śpieszyć w wyścigu o klienta oferując mu usługi lepszej jakości po niższych cenach. Obecnie europejskie
korporacje zwracają uwagę na zapewnienie satysfakcji dotychczasowych klientów w stopniu większym
niż kiedykolwiek. Od dawna wiadomo bowiem, że pozyskanie nowego klienta kosztuje wielokrotnie więcej niż utrzymanie dotychczasowego.
Jednak zamiast zwiększać zatrudnienie w swoich sklepach czy bankach w
celu zaspokojenia tych rosnących potrzeb, wiele z nich zaczęło tworzyć
właśnie centra serwisowe.
Rzeczywiście, stają się one nieodłączną częścią coraz większej liczby europejskich korporacji. Pozwalają firmom
wzbogacić się w nowe narzędzie oddziaływania na klienta po stosunkowo niskich kosztach, przy jednoczesnych obniżkach płac w innych sektorach. Wśród nich można wymienić
także banki średniej wielkości, oferujące niektóre swoje produkty finansowe przez telefon, dzięki czemu udaje
im się z powodzeniem konkurować na
rynku z bankami znacznie większymi.
Sprzedaż produktów tą właśnie metodą może być nawet o 25 proc. tańsza,
niż przepuszczanie ich przez sieć oddziałów.
Tworząc centrum obsługi klienta trzeba liczyć się z dużymi nakładami finansowymi. Szczególnie wysokie koszty
są związane z przyjęciem i szkoleniem
pracowników (60 proc. kosztów związane jest z kadrą). Ale osiągnięte zyski
mogą być znaczne: szacuje się, że każdy dolar zainwestowany w Call Center
w 1997 r. przyniósł 7,31 dolara przychodu (wg American Telemarketing
Association).
© SOLIDEX, 2010
33
Usługi katalogowe - proces wdrożenia
Artykuł z Nr 1-2/2002 (51)
Co łączy ze sobą następujące aplikacje: ścianę ogniową Check Piont, oprogramowanie PKI firmy RSA,
oprogramowanie pocztowe iPlanet Messaging Server, oprogramowanie billingowe MEIPS firmy MIND,
konsolę zarządzającą oprogramowaniem antywirusowym TVCS firmy Trend Micro, ...? Wszystkie te aplikacje
korzystają/mogą korzystać z serwerów usług katalogowych LDAP (Lightweight Directory Accesss Protocol).
Plan wdrożenia
W procesie wdrażania Usług Katalogowych jednym z najważniejszych etapów jest projektowanie. Zgodnie ze
starą zasadą, która mówi, że im więcej
czasu zostanie spędzone na projektowaniu wdrożenia, tym mniej kłopotów
będzie później. Dzieje się tak głównie
dla tego, że usługi katalogowe są zwykle elementem łączącym wiele różnych
systemów, projekt może zaważyć na
ich stabilności. Zalecane jest również
tworzenie instalacji pilotowych, które
pozwalają wcześnie wykryć wszelkie
problemy związane z dalszą pracą systemu.
Cykl życia katalogu
Cykl życia katalogu można generalnie
podzielić na trzy fazy: fazę projektu,
fazę wdrożenia oraz fazę utrzymania.
Oczywiście, cykl życia nie jest tak prosty - trzy fazy stanowią jednak podstawową segmentację zadań związanych
z uruchomieniem systemu. Sam proces
wdrożenia powoduje częste przejścia
między tymi fazami i tak na przykład
nowe funkcje dodane w dowolnej z faz
powodują konieczność przejścia cyklu
projektowanie-wdrożenie-utrzymanie.
Pomimo, że wymienione trzy fazy są
ze sobą ściśle powiązane, warto o nich
myśleć jako o oddzielnych etapach ułatwia to skupianie się na osiągnięciu
właściwych dla każdego etapu celów.
Każda z faz posiada własne zadania.
Projektowanie
Podczas fazy projektowania usług katalogowych najważniejszym zadaniem
jest zrozumienie wymagań odnośnie
katalogu. Zrozumienie wymagań jest
kluczem do dobrego projektu. Rezultatem fazy projektowania jest dokument
lub zestaw dokumentów opisujących
usługi katalogowe, aplikacje korzystające z katalogu oraz główne decyzje projektowe. Jest wiele metod segmentacji procesu projektowania. Czy
zostanie wybrana metoda od ogółu
do szczegółu, czy też od szczegółu do
ogółu należy pamiętać, że faza projektowania ma na celu dostosowania środowiska w następujących obszarach:
ƒƒ Potrzeby katalogowe. Projektowane usługi katalogowe muszą podołać wymaganiom aplikacji korzystających z danych katalogowych. Dlatego zrozumienie zasad działania i
potrzeb tych aplikacji, oraz potrzeb
użytkowników używających te aplikacje jest bardzo ważne.
ƒƒ Dane. Niezależnie od typu usług katalogowych, jakie projektujemy, musimy
zapewnić obsługę wymaganych danych. Jeśli tworzymy nowy serwis, bardzo ważne staje się zidentyfikowanie
tych danych, opisanie ich, zrozumienie zależności z katalogiem i przygotowanie do „załadowania” do katalogu.
Dużo lepsza sytuacja jest kiedy projektujemy serwis katalogowy do działającego systemu komputerowego - dane
zgromadzone w tym systemie są użyteczne do tworzenia katalogu.
ƒƒ Schematy. Katalog funkcjonuje dla
potrzeb wielu aplikacji. Aplikacje te
mają różne wymagania odnośnie danych zawartych w katalogu, odnośnie ich formatu i interpretacji. Te zastosowania są determinowane przez
schematy katalogu.
ƒƒ Przestrzeń nazw. Po określeniu, jakie dane mają się znaleźć w katalogu następnym krokiem jest zdefinio-
wanie metody organizacji tych danych. To właśnie jest celem części odpowiedzialnej za przestrzeń nazw, jej
odpowiednie określenie ma wielkie
znaczenie dla katalogu.
ƒƒ Topologia. Projektowanie topologii
komplikuje się w zależności od ilości serwerów, jakie są potrzebne by
sprostać wymaganiom, od tego, jak
dane są dzielone między tymi serwerami, oraz od ich umiejscowienia.
ƒƒ Replikacja. Aplikacje korzystające z
usług katalogowych mogą powodować duże obciążenie serwera katalogowego. Replikacja danych na kilka innych serwerów pozwala na balansowanie wydajności maszyn i obsługę większej liczby operacji katalogowych. Jednocześnie zwiększa bezpieczeństwo danych oraz niezawodność usług, przy skróceniu czasu odpowiedzi.
ƒƒ Bezpieczeństwo. Aspekty bezpieczeństwa powinny być brane pod
uwagę na każdym etapie projektowania. Należy zadbać o zabezpieczenie danych katalogowych przed
utratą korzystając z mechanizmów
redundancji, trzeba zadbać również
o redundancję serwerów obsługujących katalog - w końcu dużo uwagi należy poświęcić zabezpieczeniu
połączeń między aplikacjami a katalogiem.
Wdrożenie
Faza wdrożenia rozpoczyna się z chwilą, gdy projekt przeradza się w działający system. Należy dokonać wyboru
oprogramowania dla serwera katalogowego, przeprowadzić testy, czy serwer jest w stanie podołać przewidywanemu obciążeniu. Korzystając z przy-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
34
20 lat SOLIDEX
gotowanego projektu oraz zgromadzonych danych można wprowadzić
projekt w fazę produkcyjną. Mogą okazać się potrzebne zmiany w projekcie
pod wpływem uwag od użytkowników
- jest to jak najbardziej normalne i iteracje projekt-wdrożenie powinny być
powtarzane. Poniższa lista przedstawia
skrótowy opis najważniejszych etapów
wdrożenia:
ƒ ƒ Wybór oprogramowania. Kluczową sprawą jest wybór odpowiedniego oprogramowania katalogowego. Oprogramowanie to powinno
mieć możliwość łatwego skalowania
oraz zwiększania wydajności. Wybór
i ocena oprogramowania serwera katalogowego może być trudna - potrzebny jest kompromis pomiędzy
ceną, wydajnością, wsparciem technicznym, możliwościami produktu.
W pierwszym rzędzie należy jednak
brać pod uwagę to, by produkt spełniał nasze wymagania aplikacyjne,
by miał wsparcie techniczne i był ciągle rozwijany oraz by posiadał możliwości skalowania wraz ze wzrostem
wymagań. Wybór oprogramowania
tylko według kryteriów cenowych
bardzo często okazuje się złym wyborem i w perspektywie czasu dużo
bardziej kosztownym.
ƒƒ Instalacja pilotowa. Celem fazy wdrożenia jest sprawdzenie założeń projektowych (ewentualnie stwierdzenie, że były złe i powrót do fazy projektu) oraz przetestowanie czy usługi
katalogowe działają poprawnie. Najlepszą metodą na przeprowadzenie
tych testów jest uruchomienie instalacji pilotowej. Instalacja taka jest odwzorowaniem całego systemu pracuje jednak w dużo mniejszej skali - użytkownicy testowi, którzy będą
pracować na niej mogą najlepiej i
najszybciej wykryć wady rozwiązania, źle zaprojektowany schemat oraz
nieprawidłowości w działaniu. Wszelkie zgłoszone usterki i nieprawidłowości mają szansę zostać rozwiązane
przed kompletnym wdrożeniem.
ƒƒ Testy wydajności. Po zweryfikowaniu
założeń dotyczących funkcjonalności systemu następnym krokiem po-
winno być przetestowanie, czy system jest w stanie obsłużyć obciążenie w środowisku pracy. W tym miejscu należy rozpoznać, jaką wydajność
zapewnia system, jakie są metody jej
podniesienia (skalowania systemu).
Poznanie ograniczeń jest potrzebne
dla szybszego rozpoznawania sytuacji, w których obciążenie osiąga granice wydajności. Warto również przygotować plan zwiększenia wydajności systemu - pozwoli to oszczędzić
czas w chwili, gdy rosnące potrzeby
wymuszą wzrost wydajności systemu.
ƒƒ Strojenie systemu. Strojenie systemu
usług katalogowych winno być prowadzone równolegle z testami wydajności. Celem jest uzyskanie pewności, że
osiągnięta została maksymalna możliwa do uzyskania efektywność działania systemu. Strojenie obejmuje: obserwacje stanów systemu, poszukiwanie wąskich gardeł lub niepoprawnego zachowania. Jeśli oprogramowanie usług katalogowych pochodzi
od renomowanego dostawcy, łatwo
dostępne są dokumentacje opisujące jak uzyskać optymalną wydajność
poprzez ustawienie odpowiednich
parametrów konfiguracyjnych. Równie ważne jest rozpatrzenie wszelkich
aspektów wydajnościowych nie dotyczących bezpośrednio oprogramowania serwera katalogowego - wydajności sprzętu, systemu operacyjnego i innych zainstalowanych aplikacji. Znalezienie ograniczeń i usunięcie ich często bywa dużo tańsze i efektywniejsze
niż inwestycje w wydajniejszy sprzęt.
Nie należy jednak zapominać o tym, że
ciągłe strojenie systemu kosztuje dużo
pieniędzy, a kolejne zmiany wprowadzają coraz mniejsze zyski w wydajności, dlatego nie należy przeprowadzać
strojenia systemu w nieskończoność.
ƒƒ Informacje zwrotne od użytkowników. Podczas dowolnego typu wdrożeń usług informatycznych, niezmiernie istotną sprawą jest udostępnienie instalacji pilotowej dla wybranej
grupy użytkowników. To dla nich jest
tworzony system i to oni najlepiej
potrafią zauważyć wszelkie niedociągnięcia oraz usterki oprogramowa-
nia. Dobry projekt z informatycznego punktu widzenia może okazać się
nie ergonomiczny, czy też nie spełniający wymagań użytkowników. Informacje uzyskane od pierwszych
osób używających wdrażany system
pozwalają szybko wykryć miejsca, w
jakich należy wnieść poprawki. Pozwalają również przekonać się, że zaprojektowane rozwiązanie jest w pełni użyteczne.
ƒƒ Praca systemu. Końcowym etapem,
po projektowaniu, instalacji pilotowej i uwzględnieniu uwag testerów,
jest uruchomienie w pełni pracującego systemu. Uruchomienie powinno zostać przeprowadzone w płynny sposób tak, by przejście ze starych
systemów na nowy nie wiązało się z
przestojami.
Faza utrzymania
Utrzymywanie usług katalogowych
jest ostatnim i najdłuższym etapem w
procesie tworzenia katalogu. Nakłady
wymagane na tym etapie w dużej mierze zależą od tego jak został przygotowany projekt systemu. W dużych instalacjach administrator musi zarządzać
dużą ilością danych. Jeśli nie zostaną
zaprojektowane narzędzia pomagające administratorowi w tym zadaniu,
system będzie słabo utrzymany, dane
mogą zaś być nie aktualizowane. Podobnie dzieje się, jeśli dane nie są aktualizowane - sensowność użycia serwera katalogowego staje pod znakiem zapytania. By zaprojektować system łatwy - a co za tym idzie tani - w utrzymaniu należy pamiętać o codziennych
zadaniach przeprowadzanych na katalogu. Jak będą przeprowadzane takie zadania jak dodawanie użytkowników, modyfikacja wpisów, utrzymywanie aktualnych danych - odpowiedzi na
te pytania pozwalają na stworzenie narzędzi wspomagających te operacje.
Wziąć pod uwagę trzeba też to, że inne
narzędzia wspomagające pracę administratorów są potrzebne do obsługi
katalogu o np. 1000 wpisach, a inne dla
katalogu o 500000 wpisów. Na etapie
utrzymania serwisu należy rozpatrywać następujące aspekty:
© SOLIDEX, 2010
35
ƒƒ Utrzymanie danych. Ten aspekt jest
przeważnie najważniejszy oraz zajmujący najwięcej czasu i jest najbardziej kosztowny w realizacji. Należy
opracować odpowiednie procedury aktualizacji danych oraz politykę
usuwania danych już nieaktualnych.
ƒƒ Zabezpieczenie danych. Kolejnym
istotnym aspektem zarządzania danymi i bezpiecznego utrzymania danych jest polityka wykonywania kopii bezpieczeństwa. Wiele zależy tu
od zastosowanego oprogramowania - należy sprawdzić, czy umożliwia ono wykonywanie kopii on-line,
czy też wymaga zatrzymania serwera usług, jak skuteczne jest odzyskiwanie danych itp. Jedną z form zabezpieczenia danych jest ich replikacja - zwiększająca (oprócz bezpieczeństwa) wydajność systemu.
ƒƒ Rozszerzenie schematów. Wraz z projektowaniem i wdrażaniem kolejnych
aplikacji korzystających z zasobów katalogowych może zajść potrzeba rozszerzenia schematu katalogu. Już na
etapie wyboru oprogramowania dla
serwera należy pamiętać o takiej możliwości - również procedury administracyjne (dodawanie użytkowników,
modyfikacja) powinny być na tyle elastyczne, by rozszerzenia nie wiązały
się z paraliżem systemu. Na uwadze
trzeba mieć również to, że nowe aplikacje mogą stawiać nowe wymagania
dotyczące wydajności sprzętu oraz
konfiguracji indeksów w bazie.
ƒƒ Monitorowanie. Jednym z najważniejszych narzędzi umożliwiających
ocenę poprawności działania systemu oraz służących do wczesnego wykrywania nieprawidłowości w
pracy jest monitorowanie systemu.
Należy tu rozważyć wykorzystanie
narzędzi dostarczonych przez producenta lub firmy trzecie. Często istnieje potrzeba włączenia systemu katalogowego do istniejącej infrastruktury monitorującej - można to zrobić
wykorzystując plug-iny lub bezpośrednio, jeśli oprogramowanie obsługuje np. protokół SNMP (ponownie
powraca temat wyboru odpowiedniego oprogramowania).
ƒƒ Wielkość systemu. Naturalną częścią
procesu życia systemu jest jego ciągły wzrost. W większości przypadków
zastosowania katalogu, stopień wykorzystania katalogu wzrasta wraz z
rosnącą liczbą wpisów. Zwykle dodawanie nowych wpisów jest procesem
ciągłym, jednak zdarzyć się może
gwałtowne ich zwiększenie (np. przy
połączeniu firm, czy też po objęciu
systemem większej ilości pracowników). Należy opracować reguły pozwalające zareagować na zwiększające się obciążenie serwera zanim zostanie utracona płynność pracy. Reguły te mogą być wcześniej określone np. system powinien zostać rozbudowany, jeśli zostanie przekroczone zużycie procesora ponad 75%, czy
też obciążenie sieci przekroczy 50% i
tym podobne reguły dotyczące potencjalnych wąskich gardeł: dysków,
pamięci. Wiedza na ten temat połączona z ciągłym monitoringiem serwera pozwala być przygotowanym
na proces rozbudowy.
ƒƒ Zmiana wymagań. Ostatnią częścią
zadań utrzymaniowych powinno
być ciągłe analizowanie założeń systemowych i zmienianie ich w zależności od potrzeb - na etapie projektu nie można w pełni określić, w jaką
stronę pójdzie nasz system.
Przykład wdrożenia usług
katalogowych
W następnej części artykułu zostanie
przedstawiony przykład projektu wdrożenia usług katalogowych w pewnej fikcyjnej firmie. Zagadnienia związane z
projektem informatycznym nie będą
szczegółowe - zostaną jedynie zasygnalizowane elementy uwzględnione na poszczególnych etapach tworzenia projektu. Informacje, które są tu zebrane są wynikiem studiów literatury źródłowej oraz
praktycznych doświadczeń wdrożeniowych systemów usług katalogowych.
Opis organizacji
Jako przykład projektu wdrożenia
usług katalogowych użyję wdrożenia
w fikcyjnej firmie. Jest to firma o profilu informatycznym i zasięgu ogólno-
polskim z siedzibą główną w Warszawie oraz z oddziałami rozmieszczonymi w siedmiu miastach: Kraków, Wrocław, Poznań, Olsztyn, Gdynia, Szczecin, Rzeszów. Zajmuje się handlem i
usługami, jest również odbiorcą towarów. Zatrudnia 1200 ludzi. Jest dość
dobrze zinformatyzowana: połączenia między oddziałami są zrealizowane z wykorzystaniem łączy stałych.
Styk z Internetem jest chroniony ścianą ogniową firmy Check Point. Przewidywane jest podłączenie agentów
rozproszonych po kraju do zasobów
firmy za pomocą technologii sieci wirtualnych - VPN z wykorzystaniem certyfikatów w ramach tworzonego wewnątrz firmy systemu PKI (Public Key
Infrastructure) w oparciu o rozwiązania RSA.
Firma korzysta z dwóch różnych systemów poczty elektronicznej - część
użytkowników przyjmuje pocztę łącząc się z lokalizacją warszawską, zaś
pracownicy Rzeszowa, Wrocławia i
Krakowa odbierają pocztę z lokalizacji
krakowskiej. Firma chce zamienić system pocztowy na inny - wspólny dla
całej firmy. Zaproponowano oprogramowanie iPlanet Messaging Server.
Informacje o pracownikach są składowane w bazie działu HR - baza danych
na systemie Oracle. Podobnie z danymi o partnerach handlowych i kontrahentach - są umieszczone w bazie danych Oracle i są wykorzystywane za
pośrednictwem aplikacji zaprojektowanej specjalnie dla tej firmy. Organizacja posiada również rozbudowany i
spersonalizowany serwis intranetowy
WWW. Każdy z pracowników może po
zalogowaniu uzyskać dostęp do odpowiednich informacji, jak również zarządzać własnymi urlopami oraz wyjazdami służbowymi (wnioski oraz zatwierdzanie odbywa się drogą elektroniczną). Na wewnętrznych stronach
WWW znajduje się również wyszukiwarka pracowników. Informacje na
potrzeby serwisu WWW są pobierane z bazy danych. Firma posiada również rozbudowany serwis internetowy
WWW przeznaczony dla partnerów
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
36
20 lat SOLIDEX
handlowych i klientów. Informacje
tam znajdujące zależą od uprawnień
logujących się osób. Ponadto, każdy
oddział posiada pewną ilość serwerów pracujących pod kontrolą systemów operacyjnych SunOS oraz Solaris (wersje 7, 8). Maszyny z SunOS-em
pracują pod kontrolą NIS-a. Każdy pracownik posiada hasła dostępu do tych
maszyn.
Projekt wdrożenia
Projekt został oparty na liście kontrolnej projektowania systemu katalogowego opisanej w rozdziale poświęconym metodologii wdrożenia. Stosowanie się podczas projektu do tej listy kontrolnej nie gwarantuje udanego projektu - pomaga jednak skupić się
na właściwych aspektach w odpowiednich punktach projektu oraz uniknąć
wielu błędów. Serwery LDAP często są
wdrażane jako alternatywa dla innych
systemów w działających instalacjach,
a z danych w nich umieszczonych korzysta wiele aplikacji, z tego względu
dużo czasu należy poświęcić analizom,
ryzyko związanie z błędną pracą systemu mogą powodować paraliż systemów firmy.
Określenie potrzeb katalogu, oraz
korzystających z niego aplikacji
W pierwszym rzędzie należy zdefiniować, jakie aplikacje i systemy z
istniejących w firmie będą korzystały z danych w katalogu. Powinny to
być: system poczty elektronicznej,
systemy operacyjne SunOS, Solaris
i inne pracujące pod kontrolą NIS-a,
serwis intranetowy oraz internetowy, „książka adresowa” pracowników
wraz z systemem informacyjnym dotyczącym pracowników oraz wewnętrzne aplikacje do obsługi firmy.
Część z tych aplikacji może być używana przez osoby z zewnątrz firmy,
co narzuca zachowanie odpowiednich zasad dostępu do katalogu. W
związku z tym, że część danych znajduje się w istniejących systemach i
bazach danych, dla potrzeb integracji danych zastosowany zostanie mechanizm metakatalogu.
Określenie potrzeb odnośnie
danych
Kluczową sprawą w procesie projektowania systemu jest zidentyfikowanie wszystkich danych, jakie będą zawierać informacje w katalogu. Równie ważne jest określenie miejsca
przechowywania tych danych, możliwości zastosowania metakatalogu
pozwalają na to, że serwer katalogowy przechowuje tylko część informacji integrując je z innymi źródłami danych. W omawianym przykładzie należy rozpatrzyć, jakie dane są wymagane przez konkretne aplikacje, czy
też systemy.
ƒ ƒ System pocztowy: powinien składować dane dotyczące adresu email użytkownika poczty, nazwy
serwera obsługującego pocztę,
ewentualnych aliasów, quoty dyskowej, nazwy użytkownika, hasła
dostępu do poczty, ewentualnie
inne informacje dotyczące ustawień poczty, zależą one od zastosowanego oprogramowania pocztowego. Na przykład iPlanet Messaging Server przechowuje w
LDAP informacje na temat książki adresowej użytkownika, schematów kolorów użytych w interfejsie webowym do czytania poczty, treść wiadomości „wakacyjnej”
oraz inne preferencje użytkownika. Co ważne, grupy w LDAP mogą
zostać grupami pocztowymi, jeśli
tylko dodane zostaną informacje
na temat adresu e-mail grupy oraz
jakie osoby do niej należą.
ƒƒ Systemy operacyjne SunOS i Solaris
oraz NIS w LDAP mogą składować informacje dotyczące nazwy użytkownika oraz jego hasła, ścieżki katalogu
domowego, nazwy stosowanej powłoki, UID (User ID), GID (Group ID),
quota dyskowa itp.
ƒƒ System PKI przechowuje dane o certyfikatach zapisanych w standardzie
ISO X.509.
ƒƒ Ściana ogniowa Check Point: dane
umożliwiające przydzielenie danej osoby do odpowiedniej grupy
uprawnień (rozszerzenie schematu o
dwie klasy obiektów)
ƒƒ System informacji o pracownikach:
informacje, jakie powinny być dostępne przez LDAP to imię, nazwisko, ID pracownika, numer pracownika, stanowisko, przynależność do danej filii, numer telefonu stacjonarnego oraz ewentualnie komórkowego,
informacje opisowe, adres e-mail, adres pocztowy oraz inne dodatkowe
informacje takie jak np. zdjęcie pracownika w postaci bitmapy, czy też
w formacie jpg, adres strony internetowej pracownika itp. Dzięki temu, że
każdy komputer wyposażony w system operacyjny Windows 9x, 2000
ma wbudowaną przeglądarkę LDAP,
informacje te stają się łatwo dostępne poprawiając komunikację między
pracownikami. Równie łatwo konfiguruje się aplikacje do przeglądania
poczty MS Outlook, czy też Netscape
Communicator - pozwalają na znalezienie informacji o pracowniku na
podstawie fragmentu nazwiska.
ƒƒ Wewnętrzne aplikacje obsługujące firmę: aplikacje te korzystają z danych znajdujących się w bazie danych Oracle, z tego powodu współpraca z LDAP ograniczy się do przechowywania informacji służących
autoryzacji użytkowników tych aplikacji. Nie trudno zauważyć, że dane
potrzebne dla każdej następnej aplikacji/systemu zawierają nazwę użytkownika i hasło wymagane do autoryzacji. Jeśli dla wszystkich systemów
zostanie użyta ta sama para parametrów, można znacznie obniżyć koszty
administracji przez stosowanie jednej metody autoryzacji dla wszystkich systemów w firmie. Zmiana hasła powoduje automatyczną zmianę
dostępu. Większość informacji na ten
temat znajduje się w istniejących bazach danych i będą pobierane z tych
źródeł z wykorzystaniem mechanizmów metakatalogu.
ƒƒ Informacje o partnerach firmy: wszystkie niezbędne informacje będą pobierane z bazy danych Oracle. W LDAP
będą przechowywane informacje dotyczące logowania, zaś pozostałe będą
pobierane w miarę potrzeb z baz danych za pomocą metakatalogu.
© SOLIDEX, 2010
37
Projekt przestrzeni nazw
Hierarchiczna struktura katalogu w
LDAP pozwala na zaprojektowanie
dowolnie skomplikowanej przestrzeni nazw, która na przykład będzie odwzorowywać hierarchię zawodową
pracowników w firmie. Jednak zaleca się stosowanie maksymalnie płaskiej struktury katalogu, ze względu na
szybsze przeglądanie i wyszukiwanie
bez stosowania indeksów. Bardziej płaska struktura pozwala również na łatwiejsze zaprojektowanie schematów
replikacji.
Korzeń drzewa katalogowego będzie
nazwany zgodnie z domeną internetową firmy: „dc=firma, dc=com, dc=pl”.
W opisywanym projekcie przestrzeń
nazw zostanie oparta na podziale geograficznym firmy. Informacje firmowe
będą przechowywane pod bazowym
DN „o=nazwa_firmy”, z dziewięcioma
gałęziami potomnymi: Warszawa, Kraków, Wrocław, Poznań, Olsztyn, Gdynia, Szczecin, Rzeszów. Każda z tych gałęzi będzie posiadać po dwie gałęzie
potomne: People (tu będą przechowywane informacje o ludziach) oraz Groups (informacje o grupach).
Informacje na temat partnerów będą
umieszczone w drugiej gałęzi głównej „o=partnerzy”. Hierarchię w postaci
graficznej przedstawia rysunek 1
Rys. 1 Przykład hierarchicznej struktury katalogu
Projekt schematu katalogu
Aby odpowiednie informacje można
było przechowywać w LDAP należy dodać odpowiednie schematy dla wpisów. Dla każdego wpisu odpowiadającego użytkownikowi powinny zostać
dodane poniższe schematy:
ƒƒ top
ƒƒ people
ƒƒ mailRecipient
ƒƒ nsMessagingServerUser
ƒƒ organizationalPerson
ƒƒ inetOrgPerson
ƒƒ posixAccount
ƒƒ shadowAccount
...
ƒƒ fw1person
ƒƒ fw1template
Oczywiście podane klasy obiektów są
jedynie przykładowe. Chcę zaznaczyć
jednak, że w miarę możliwości najlepiej jest wykorzystać klasy obiektów i
atrybuty standardowych klas a dopiero
w sytuacji, kiedy żadna klasa standardowa nie zapewnia wymaganej funkcjonalności - dodawać własne klasy i
atrybuty. Dla ułatwienia wiele dostępnych aplikacji, które mogą współpracować z serwerem LDAP zawiera potrzebne schematy w łatwej do wykorzystania postaci - bądź natywnego dla LDAP
formatu LDIFF, bądź też ładowane z
wykorzystaniem protokołu LDAP podczas instalacji.
Pozostałe informacje, jakie są wymagane, a nie znajdują się w powyższych
schematach mogą być dodane do plików konfiguracyjnych (rozszerzanie
schematów) i wykorzystywane, jeśli tylko aplikacje potrafią skorzystać z
tych danych. Z tego względu dobrze
jest mapować wymagane informacje
na atrybuty w istniejących standardowych schematach.
Projekt topologii systemu
katalogowego
Topologia systemu katalogowego będzie podporządkowana geograficznemu rozkładowi oddziałów firmy. Takie
rozwiązanie jest swego rodzaju kompromisem pomiędzy prostą strukturą drzewa katalogowego - łatwa administracja; a możliwościami podziału na
wiele „gałęzi” - lepszy podział na grupy.
W każdym oddziale będzie znajdował
się serwer katalogowy logicznie obsługujący cały katalog, fizycznie zaś tylko
właściwą dla siebie gałąź (o=nazwa_firmy, o=nazwa_miasta). Dostęp do danych znajdujących się w innych gałęziach będzie rozwiązany z wykorzystaniem referencji. Serwer znajdujący się
w centrali firmy, jako jedyny będzie posiadał komplet informacji replikowanej
z wszystkich serwerów. Takie rozwiązanie poprawia bezpieczeństwo pracy wszystkich aplikacji korzystających
z zasobów katalogowych - w wypadku
awarii serwera lokalnego, właściwe informacje mogą być uzyskane z serwera centralnego. Ponadto zostaje obniżony koszt administracji systemem, ponieważ drogie systemy do tworzenia
kopii bezpieczeństwa mogą być zainstalowane tylko w centrali - tam również można zaprojektować system redundantny dla zapewnienia niezawodności.
Projekt zasad replikacji katalogu
Zastosowanie rozproszonego systemu
katalogowego z jednym, centralnym
miejscem składowania całej jego zawartości, upraszcza schemat replikacji.
Replikowana będzie cała zawartość katalogów z siedmiu lokalizacji do katalogu centralnego.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
38
20 lat SOLIDEX
Replikacja w drugą stronę będzie następowała jedynie w następstwie awarii któregoś z serwerów w celu odtworzenia danych. Ponadto w centrali będzie wykorzystana replikacja między dwoma serwerami typu „master”
dla zapewnienia większej wydajności
i większego bezpieczeństwa danych.
Gałąź partnerzy będzie przechowywana jedynie na serwerze w centrali - w
późniejszym czasie, jeśli rozwiązanie to
nie będzie wystarczające można zaplanować replikację tej gałęzi do każdego
z serwerów znajdujących się w oddziałach firmy.
Projekt zasad ochrony danych
oraz ich prywatności
Dane znajdujące się w katalogu mają
różną wagę z punktu widzenia bezpieczeństwa. Różne również będą kategorie użytkowników: pracownicy, administratorzy, partnerzy. Bezpieczeństwo
danych należy zapewnić korzystając z
mechanizmów replikacji, bezpieczeństwo przesyłu danych - poprzez wykorzystanie odpowiednich list dostępu (ACL), bezpiecznej transmisji SSL
podczas korzystania z katalogu z sieci zewnętrznych oraz przez kodowanie
transmisji między poszczególnymi oddziałami firmy.
Podsumowanie
Powtórzę słowa autorów biblii LDAP
„Understanding and Deploying LDAP
Directory Services” - z naszego doświadczenia wynika, że ludzie po zapoznaniu się z możliwościami usług katalogowych LDAP reagują na dwa skrajne sposoby. Pierwsza reakcja jest negatywna: „Co tak naprawdę dobrego
jest w tym katalogu. Przecież rozwiązanie firmy X zapewnia mi te same możliwości. Nie wierzę, że to rozwiązanie jest
tak wydajne, bezpieczne i tanie w eks-
ploatacji. Mam spore obawy co do integracji aplikacji działających w firmie
z serwerem LDAP.” Ten typ reakcji jest
prosty do przekonania, trochę dodatkowej edukacji, pokaz katalogu w akcji
i lepsze wytłumaczenie zasad działania
pozwala przełamać wszelkie opory.
Dużo większe problemy stwarza drugi
typ reakcji: „Katalog jest cudowny. Wystarczy go wdrożyć i już nic więcej nie
muszę robić. Zastąpi mi wszystkie bazy
danych, serwer WWW i FTP, itp.” Ten entuzjazm jest bardzo niebezpieczny. Jak w
powiedzeniu: „Gdy jedynym narzędziem
jakie znamy jest młotek - każdy problem
wygląda jak gwóźdź” jednak część problemów można rozwiązać młotkiem, do
innych młotek się przydaje, zaś do jeszcze innych młotek zupełnie się nie nadaje. Potrzeba dużo pokazów i szkoleń by
wyprowadzić taki tok myślenia na właściwe drogi.
© SOLIDEX, 2010
39
Bezpieczeństwo pamięci masowych - storage security
Artykuł z Nr 7-8/2003 (60)
Usieciowienie pamięci masowych (SAN, NAS) okazało się trwałym trendem na rynku pamięci masowych.
Ich wprowadzenie rozwiązało szereg problemów związanych z urządzeniami podłączanymi bezpośrednio
do serwerów (DAS), wprowadziło jednak nowe. Jednym z takich nieznanych wcześniej problemów jest
storage security.
Początkowo dyski podłączone były wyłącznie do indywidualnych serwerów.
Temat storage security nie istniał więc
z definicji, ponieważ nie było innej metody nieautoryzowanego dostępu do
tych urządzeń niż poprzez serwer, którego własność stanowiły.
Pojawienie się sieciowej pamięci masowej (SAN, NAS) wyeliminowało
wady rozwiązań DAS związane z kosztownym i bardzo nieefektywnym zarządzaniem pamięcią masową w większej skali. Nowe rozwiązania nie były
jednak zaprojektowane do jednoczesnego usunięcia nowych typów zagrożeń - nieautoryzowanego dostępu do
danych, których wartość zwłaszcza po
przeprowadzeniu procesu konsolidacji, jest zwykle olbrzymia (potencjalny złodziej musi się włamać tylko raz!).
Należy pamiętać, że storage security
stanowi tylko jeden z elementów ogólnej polityki bezpieczeństwa i zgodnie z
regułą najsłabszego ogniwa może stanowić o jej ogólnej sile - lub słabości.
Stan aktualny
Pamięć masowa wykorzystująca IP (NAS,
IP SAN) jest narażona na znane ze świata
IP niebezpieczeństwa. Ponieważ zagrożenia związane z protokołami IP są znane
od dawna, sieci pamięci masowych zbudowane w oparciu o nie stosunkowo łatwo zabezpieczyć, gdyż:
ƒƒ ze znanymi niebezpieczeństwami łatwiej walczyć
ƒƒ iSCSI ma wbudowane mechanizmy
bezpieczeństwa
W odróżnieniu od sieci IP, sieci SAN
oparte na Fibre Channel są postrzegane jako całkowicie bezpieczne. Typo-
we rozumowanie opiera się na przyjęciu fizycznego odseparowania tej sieci
od zagrożeń i adekwatności takich mechanizmów jak zoning. Jednak bezpieczeństwo sieci SAN to tylko mit.
niu z niewielką możliwością podstępnego
dołączenia się do sieci stanowi w wielu przypadkach wystarczające zabezpieczenia na
dzień dzisiejszy. Najczęściej stosuje się następujące, słabe metody kontroli dostępu:
Pamiętajmy:
Technologie SAN nie były projektowane z myślą
o bezpieczeństwie!
Bezpieczeństwo w sieciach SAN
Sieć
W przypadku klasycznych przełączanych (fabric) sieci Fibre Channel podsłuchanie transmisji jest znacznie trudniejsze niż w przypadku LAN, ale jednak możliwe. Trudności przede wszystkim wynikają z mniej popularnego standardu (każdy PC jest wyposażony w kartę Ethernet ale rzadko który ma HBA).
Niemniej jednak zwiększenie zagrożenia z tej strony to tylko kwestia czasu. O
tym, że nie jest to czysta teoria, najlepiej
może świadczyć przykład WLAN.
Ataki typu denial-of-service nie stanowią w sieci Fibre Channel powszechnego zagrożenia, są jednak możliwe. Dodatkowo urządzenia FC oraz stacje zarządzające są zagrożone na wiele klasycznych ataków od strony sieci IP.
Uwierzytelnianie i autoryzacja
Standardowe metody stosowane w świecie SAN nie przewidują żadnych sposobów uwierzytelniania i autoryzacji dostępu do zasobów pamięci masowej.
Metody kontroli dostępu
specyficzne dla SAN
Sieci SAN wykorzystują specyficzne metody
kontroli dostępu do zasobów, co w połącze-
ƒƒ LUN masking (na hoście, na urządze-
niu) - ograniczenie widoczności zasobów na poziomie podsystemów
logicznych (identyfikowanych przez
LUN) dla poszczególnych serwerów
lub grup. Jako zabezpieczenie przed
nieautoryzowanym dostępem może
być skuteczne jedynie w przypadku
implementacji tej metody na urządzeniu pamięci masowej.
ƒƒ Zoning (podział na strefy):
‚‚ soft zoning - segmentacja sieci SAN
bazująca na portach. Rozwiązanie
trudne w administracji w większej
skali i mało elastyczne ale stosunkowo bezpieczne (dostęp do strefy
może nastąpić dopiero po fizycznym podłączeniu się do portu należącego do niej) i nie wpływające
na wydajność.
‚‚ hard zoning - separacja ruchu
oparta na adresach WWN. Bardzo elastyczna i wygodna w administracji ale o znacznie niższym
stopniu bezpieczeństwa (podatna
na ataki typu spoofing, nie uniemożliwia dostępu do urządzeń).
Dodatkowym minusem tej metody jest możliwość negatywnego
wpływu na wydajność.
‚‚ Virtual SAN - wprowadzone przez
Cisco rozwiązanie przenoszące na
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
40
20 lat SOLIDEX
grunt sieci SAN rozwiązania z sieci
LAN (analog VLAN). Ułatwia administrację sieci SAN ale nie wprowadza nowej jakości w kwestii ochrony danych.
Każde z wymienionych zabezpieczeń
można skutecznie zaatakować, np.:
ƒƒ WWN spoofing (atak na LUN masking)
ƒƒ PLOGI fabric port address scanning
(atak na soft zoning)
ƒƒ fabric port address spoofing (atak na
hard zoning)
Zagrożenia
Niebezpieczeństwo może także przyjść
z innej strony:
ƒƒ Zarządzanie in-bound i out-of-band
ƒƒ Fizyczny dostęp do urządzeń i sieci
SAN
‚‚ możliwość przełączania portów
‚‚ możliwość dostępu do nośników
ƒƒ Błędy wynikające z rekonfiguracji sieci
‚‚ możliwość nieautoryzowanego udostępnienia danych
ƒƒ Zdalny backup i mirroring
‚‚ dane są przesyłane w postaci jawnej
Te zagrożenia nie są czysto teoretyczne i mogą wystąpić w każdej chwili, np.
podczas rutynowych czynności serwisowych:
ƒƒ Łatwiej jest przekupić technika wymieniającego dyski niż zdalnie atakować!
ƒƒ Nie można przecenić zagrożenia ze
strony hosta przyłączonego do sieci SAN, który dostał się pod kontrolę
wroga. Typowa sieć SAN nie ma mechanizmów obrony przed takim hostem.
Klasyfikacja zagrożeń
Wg SNIA istnieją trzy klasy ryzyka:
ƒƒ kradzież, modyfikacja, zniszczenie
danych przepływających przez sieć
lub przechowywanych w pamięciach
masowych
ƒƒ nieautoryzowane wykorzystywanie
i monopolizacja zasobów - Denial Of
Service, wirusy, itp.
ƒƒ zaburzenia w sieci spowodowane
przez zmiany konfiguracji, skutecznie
zaatakowane serwery/switche, błędy
ludzkie, spoofing, itp.
Miejsce wystąpienia potencjalnych zagrożeń można sobie łatwiej wyobrazić
dzięki strefom:
1.systemy i połączenia (serwery)
2. sieć (dane w tranzycie)
3.podsystemy i media (dane w spoczynku).
Zabezpieczenia można stosować wyłącznie w jednej strefie albo obejmować nimi kilka stref.
Jak się bronić?
Zagrożenia są już dostrzegane ale standardy dla storage security są jeszcze w
powijakach:
ƒƒ ANSIs T11 Fibre Channel Security Protocols (FC-SP) Working Group
ƒƒ IEEEs Security in Storage Working
Group (SISWG)
ƒƒ Storage Networking Industry Association (SNIA, http://www.snia.org/)
- Storage Security Industry Forum
(SSIF)
Mimo braku standardów użytkownicy
sieci SAN nie są bezbronni. Na rynku
istnieją firmy specjalizujące się w zagadnieniach storage security. Większość z tych firm aktywnie uczestniczy
w pracach organizacji standaryzujących. Daje to gwarancje, że dostosują
swoje produkty, obecnie oparte o własne rozwiązania, do nowych standardów, kiedy zostaną zdefiniowane.
Żadna z istniejących obecnie firm nie
posiada kompletnej oferty. Wiele z nich
swoje produkty dopiero w tych dniach
wprowadza na rynek, często z niepełną funkcjonalnością. Trzeba więc wybrać rozwiązanie rozwiązujące najbardziej palące problemy...
Przegląd zabezpieczeń dla sieci SAN
Szyfrowanie danych do backupu
W wielu przypadkach przed kompleksowym rozwiązaniem systemu zabezpieczenia sieci SAN, wskazane może
być szybkie i nieinwazyjne rozwiązanie
bardzo palącego problemu: ochrony
kopii bezpieczeństwa przechowywanych na nośnikach taśmowych. Taśmy
są często przemieszczane poza miejsce, w którym wykonywano kopie (np.
kopie bezpieczeństwa często przechowywane są poza siedzibą firmy), a ich
postać fizyczna ułatwia wykradzenie
tych nośników. Rozwiązania programowe są zwykle nieefektywne a siła stosowanych w nich zabezpieczeń niewielka
(np. szyfrowanie przy pomocy algorytmu symetrycznego z wykorzystaniem
klucza o długości 40 bitów). Dobrym
rozwiązaniem jest wykorzystanie specjalizowanego urządzenia, umieszczonego między źródłem danych (np. serwery backupu) a bibliotekami taśmowymi. Sprzętowe wspomaganie szyfrowania gwarantuje wydajność adekwatną do technologii Fibre Channel a forma dedykowanego urządzenia - prostą
implementację i obsługę.
Szyfrowanie danych między
serwerami a macierzami
W podobny sposób jak backupy można
zabezpieczyć dane przechowywane na
macierzach dyskowych. Zastosowanie
dedykowanego urządzenia (appliance)
szyfrującego nie daje co prawda pełnego zabezpieczenia, gdyż dane między
serwerami a urządzeniem kryptograficznym przesyłane są w postaci jawnej, ale ma szereg zalet:
ƒƒ implementacja wymaga stosunkowo
niewielkich zmian w istniejącej sieci
SAN
ƒƒ dane zabezpieczane są już podczas
transportu (appliance musi być umiejscowiony tuż przy serwerach)
ƒƒ dane zabezpieczane są w miejscu
składowania, co zabezpiecza nie
tylko przed nieuprawnionym dostępem ale i przed kradzieżą dysków (np. podczas czynności serwisowych) i automatycznie rozwiązuje problem danych przechowywanych na taśmach
Urządzenie przeznaczone do zabezpieczania danych musi się charakteryzować nie tylko odpowiednią wydajnością ale i wysoką dostępnością (spotykane są zestawy klastrowe).
Niektórzy producenci mają w ofercie
także analogiczne urządzenia dedykowane do urządzeń NAS.
© SOLIDEX, 2010
41
Uwierzytelnianie i szyfrowanie
w sieciach SAN
Znacznie doskonalsze od opisanych
wyżej jest rozwiązanie adresujące niemal wszystkie problemy związane z zabezpieczaniem danych w sieciach SAN.
Obejmują one:
ƒƒ szyfrowanie danych już na serwerach, z wykorzystaniem sprzętowego
akceleratora
ƒƒ uwierzytelnianie urządzeń komunikujących się w sieci SAN (wymagane
są specjalizowane agenty instalowane na tych urządzeniach); uwierzytelnianie odbywa się z wykorzystaniem
sieci LAN (out-of-band), aby nie zakłócać pracy SAN
ƒƒ zarządzanie procesem zarządzania
i kluczami przez dedykowane urządzenie (appliance)
Główną wadą tego rozwiązania jest bardzo
silna zależność od wykorzystywanych środowiska, ponieważ akceleratory sprzętowe
wraz z niezbędnym oprogramowaniem
muszą być wspierane na jak największej
liczbie platform (sprzęt, system operacyjny), a agenty muszą być zainstalowane na:
ƒƒ serwerach
ƒƒ przełącznikach i innych elementach
sieci SAN
ƒƒ macierzach dyskowych
Rozwiązania dostępne obecnie na rynku nie wspierają jeszcze odpowiednio
dużej liczby systemów.
czeństwa sieciowego wchodzi do systemów klasy SAN i nie ma w tym niczego dziwnego. Wszędzie gdzie jest cenna informacja istnieje realne zagrożenie, że ktoś w sposób nieautoryzowany będzie chciał do niej dotrzeć. Zagadnienia bezpieczeństwa w rozwiązaniach pamięci masowych stają się faktem i nie należy traktować ich z przymrużeniem oka.
SOLIDEX, jako doświadczony integrator systemów bezpieczeństwa sieciowego także specjalizuje się w bezpieczeństwie systemów pamięci masowej.
Podsumowanie
Nie ulega kwestii, że systemy pamięci
masowej winny być chronione. Problematyka klasycznych rozwiązań bezpie-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
42
20 lat SOLIDEX
Odpowiedzialność zawodowa informatyków i w informatyce
Artykuł z Nr 5-6/2004 (65)
Odpowiedzialność zawodowa była jednym z tematów dodatkowego spotkania przedstawicieli branży IT
zorganizowanego jako Postscriptum 3. Kongresu Informatyki Polskiej. W czasie spotkania, które odbyło się
w Warszawie w dniu 6 kwietnia 2004r. jeden z paneli dyskusyjnych poświecony był odpowiedzialności w
informatyce. Jednym z gości zaproszonych do zabrania głosu był Zbigniew Skotniczny, Prezes Zarządu SOLIDEX
S.A. Poniżej zamieszczamy tezy wypowiedzi Prezesa Skotnicznego będące rozwinięciem wypowiedzi w czasie
sesji otwierającej 3. Kongres, która sprowokowała branże do otwartej dyskusji o jej problemach.
Informatyka jest dziedziną wiedzy służebną wobec innych dziedzin i rozwija się tam i wtedy, gdzie i gdy jest na
nią zapotrzebowanie (nadążnie za zapotrzebowaniem). Trudno zatem zaliczać ją do dziedzin nauki jak np. matematykę, z której się wywodzi. Informatyka jest jednocześnie lub na przemian
i sztuką i rzemiosłem.
Z drugiej strony z informatykami w Polsce jest jak z medycyną - każdy się zna,
a jeśli ma komputer to już leczyć potrafi. Wychodzi z tego rodzaj znachorstwa najczęściej. Skoro informatyka
jest sztuką i rzemiosłem jednocześnie
to podlega ustawicznej ocenie odbiorców, czyli:
ƒƒ Zależnie od oceny/odbioru artyści
i rzemieślnicy dostosowują swoje
dzieła do odbiorców zastępując je po
prostu kiczem
ƒƒ Jeśli kicz staje się tworem akceptowanym z wielu powodów, to kicz będzie się rozwijał nie pozostawiając
miejsca dobrej sztuce, czy dobrym
wytworom rzemiosła
ƒƒ Jeśli dobry artysta lub dobry rzemieślnik nie jest odróżniany od kiczmakera to artyzm i rzemiosło wymiera z oczywistych powodów
Jak usiłowałem wywieść w moim referacie w czasie sesji plenarnej Kongresu
(treść wystąpienia dostępna jest m.in. na
www.SOLIDEX.com.pl/etyka.htm) obecny stan naszej informatyki wynika z historii gwałtownego rozwoju i wszelkich
wypaczeń spowodowanych tak szybkością zmian, jak i intratnością ekonomiczną przyciągającą ludzi przypadkowych,
często hochsztaplerów, czy też kicz-makerów zainteresowanych bardziej szybkim dorobieniem się, a nie średnio i długoterminowym rozwojem zawodowym
czy biznesowym.
Nie ma więc informatyka za sobą wielopokoleniowej historii rozwoju, wykształconych metod selekcji, swoich prawdziwych autorytetów. Nie powstały zatem silne środowiska zawodowe jak hutników czy prawników i pewnie długo nie powstaną. Sprzeczność
interesów w powstałych organizacjach
branżowych i zawodowych nie wpływa
praktycznie na poprawę sytuacji (warto zastanowić się przykładowo jak silna
sprzeczność występuje np. w PIIiT pomiędzy reprezentantami biznesu informatycznego i telekomunikacyjnego).
Cokolwiek byśmy nie chcieli zrobić
(uregulować) w kwestii odpowiedzialności zawodowej zapamiętajmy zatem
trzy zasadnicze i raczej dość oczywiste
sentencje:
ƒƒ każde przyzwolenie na wszelką improwizację i dziadostwo spotyka się z
natychmiastowym wykorzystaniem
przez niewiele mających z zawodem
wspólnego;
ƒƒ żadne regulacje i certyfikacje nie pomogą, jeśli nie przywróci się zasad
etyki jako podstawy odpowiedzialności każdej z grup zawodowych;
ƒ ƒ zgodnie z prawem Kopernika gorsza moneta będzie zawsze wypierać lepszą.
Oczywiście tak bardzo i tak szybko jak
na to pozwolimy!
By nie prowadzić rozważań zbyt ogólnych wyróżnijmy kategorie odpowiedzialności różnych grup zawodowych
i to w kolejności wpływu na stan dziedziny, to jest rozdzielmy odpowiedzialność na:
ƒƒ zawodową nauczycieli akademickich
i naukowców
ƒƒ zawodową informatyków
ƒƒ biznesową firm informatycznych
ƒƒ prawno-gospodarczą państwa
ƒ ƒ generalną odbiorców produktów
i użytkowników
Skupię się na próbie wskazania, gdzie
należy zacząć działać by w pierwszej
kolejności zmienić lub raczej zbudować świadomość znaczenia jakości,
rzetelności i uczciwości dla odbudowania elementarnych zasad etyki zatraconych niestety przez ostatnie piętnaście
lat (a bardziej pięćdziesiąt lat!) nie tylko
w społeczności informatycznej.
Etyka zawodowa nauczycieli
akademickich i naukowców
Zacząć trzeba od podstaw, czyli kto,
gdzie i jak uczy i wychowuje nowe pokolenie. Niestety w większości są to
osoby przypadkowe i jako osoby nie
mające najczęściej gruntownych podstaw zawodowych ani dydaktycznych
po prostu improwizują ucząc.
Nawet w najlepszej wierze nauczyć
mogą tylko tego, co umieją. Gorzej,
gdy próbuje się nadać tej improwizacji formę instytucji tworząc na dowolnym wydziale dowolnej uczelni kierunki quasi-informatyczne (ostatnio
© SOLIDEX, 2010
43
modne są rozmnażające się informatyki stosowane). Uważam, iż jest to oszustwo względem garnącej się do wiedzy młodzieży (często za modną nazwą informatyka) - 18-letni człowiek
przyjmuje bezkrytycznie, że na kierunku informatyka stosowana czy informatyka i zarządzanie posiądzie wiedzę pozwalającą mu na zdobycie wiedzy informatyka w zakresie wystarczającym do uniwersalnego wykonywania zawodu.
Podobne efekty osiągane przez liczne
formy dokształtu tak w formie płatnych
studiów zaocznych jak i skomercjonalizowanych kursów pod szumnymi nazwami akademii.
Przysposobiony do korzystania z określonych narzędzi młody człowiek ma
wrażenie, że posiadł szeroką wiedzę
zawodową i z takim przeświadczeniem podejmuje się zadań zbliżonych
ze zwykle mizernym efektem niestety.
Czas zatem głośno i wyraźnie określić co jest, a co nie jest wykształceniem uprawniającym do posługiwania się nazwą informatyka, a
co jest tylko przyuczeniem do korzystania z młotka i śrubokręta!
Czas zaprzestać oszukańczych wobec
młodzieży praktyk nazywania studiami informatycznymi każdych studiów
wykorzystania komputera jak młotka!
Może wystarczy wrócić do podziału
na trzy grupy: informatyka teoretyczna (uniwersytecka), inżynierska (politechniki) i ekonomiczna jak było jeszcze kilkanaście lat temu i nie rozpowszechniać dalej znachorstwa? A zamiast informatyki stosowanej nazwijmy studia zastosowaniami informatyki w ...
Etyka zawodowa informatyka
Jeśli chodzi o informatyków z prawdziwego zdarzenia, to należy w pierwszej kolejności mówić o inżynierskiej
czy rzemieślniczej rzetelności. I można by nawet stwierdzić, że nie jest z
tym dziś źle, gdyby nie psucie opinii
i obrazu przez zastępy domorosłych
fachowców pozujących na zawodow-
ców albo promowanych tak przez nieuczciwe firmy.
Trudniej niestety takie osoby lub firmy odróżnić niż znachora od lekarza.
W zasadzie można tylko, a raczej trzeba starać się uświadamiać szeroko odbiorcom prac i utworów informatycznych czym różni się znachor od lekarza. Niestety nie sprzyja wykryciu znachorstwa łatwość użycia różnych cudownych narzędzi do szybkiego i bezmyślnego tworzenia oprogramowania
- skutki znachorstwa widać dość późno, gdy już nawet profesjonalny lekarz
poradzić wiele nie może.
Dopóki znachorzy będą akceptowani
przez często nieświadomych odbiorców ich dzieł odium nieudanych projektów spadać będzie na profesjonalistów nie mających z tymi porażkami
nic wspólnego.
Etyka biznesowa firm
informatycznych
O totalnym braku elementarnej uczciwości kupieckiej i praktykach nieuczciwej konkurencji można by mówić godzinami - kilka ciągle niestety
dziejących się zjawisk pozwoliłem sobie wskazać w cytowanej wcześniej
kongresowej wypowiedzi.
Zwróćmy uwagę jednak na kilka ciągle tolerowanych zjawisk sprzecznych
z etyką i uczciwością kupiecką:
ƒƒ zatrudnianie studentów pierwszych
lat i powierzanie im budowy komercyjnych rozwiązań oczywiście bez
wiedzy i zgody odbiorców tych rozwiązań
ƒƒ oferowanie nieistniejących produktów jako istniejących i sprawdzonych
ƒ ƒ brak nadzoru i odpowiedzialności
za dostarczane dzieła wykonywane najczęściej przez piramidę tanich i przypadkowych podwykonawców.
Rynek musi nauczyć się pilnie odróżniać profesjonalistów od improwizatorów, a rolą środowiska jest go tego
uczyć.
Odpowiedzialność prawnogospodarcza państwa
System prawny i praktyka stosowania
prawa pozwala ciągle bezkarnie oszukiwać, a dziadostwo jest tolerowane i
wręcz popierane. W normalnym świecie nierzetelny dostawca jest wykluczany z łańcucha dostawców, a w Polsce
może liczyć na kolejne kontrakty. Zasada wykluczania winnych nienależytego
wykonania nigdy nie była respektowana. Rynek zdominowany został zatem
przez gorszą monetę, która nie dość, że
nie ma wartości, to jeszcze uzależnia korzystającego od tej monety.
Brak możliwości wyegzekwowania odpowiedzialności za jakość przez ciągle
wadliwy system zamówień publicznych
oraz niesprawne sądownictwo to bariera, która musi być usunięta, by mówić o
jakiejkolwiek odpowiedzialności informatyka czy firmy informatycznej.
Dziś po prostu większości nie opłaca się
uczciwie tworzyć i inwestować. Spróbujmy zmienić choćby kilka nagannych
przepisów i praktyk idąc śladem praktyk Unii Europejskiej. Podobnie jak w
przedsięwzięciach architektonicznych
wprowadźmy zasadę dwuetapowości
rozbijając proces tworzenia systemów
informatycznych na proces projektowania i na proces wdrożenia projektu
(zapisy prawa unijnego mówią o takim
rozbiciu projektów architektonicznych
i przetwarzania danych!).
Jasna będzie wtedy odrębna odpowiedzialność projektującego i wykonującego prace wg projektu.
Nie może być tak, iż jeden z najważniejszych systemów informatycznych państwa projektowany jest w 1200 pytaniach i odpowiedziach w czasie pomiędzy ogłoszeniem niejasnej specyfikacji
warunków zamówienia pisanej prozą,
a złożeniem ofert kilka tygodni później!
Taki system w pytaniach i odpowiedziach
nie ma przecież szans działać, nie mówiąc o korupcjogenności takiej metody
działania i łatwości zrzucenia odpowiedzialności na zamawiającego.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
44
20 lat SOLIDEX
Drugim czynnikiem decydującym o niskiej odpowiedzialności dostawców jest
kryterium wyboru oparte w zasadzie zawsze w 100% o cenę niezależnie od jakości proponowanego rozwiązania. Oczywistym jest, że oferowane i wybierane
będzie najgorsze, czyli najtańsze! I jeszcze jedno warte pilnego wdrożenia - sposób prowadzenia i realizacji zamówień.
Wzorem przepisów unijnych należy
rozdzielić personalnie proces wyboru
dostawcy od procesu odbioru wykonanych prac czy dostaw. Komisje wybierające dostawcę i odbierające wynikowe prace powinny składać się całkowicie i bezwzględnie z różnych osób!
Nawet jeśli nie ma żadnych działań korupcyjnych, to odbiorca prac staje się zakładnikiem dostawcy, którego chcąc czy
nie sobie wybrał - czyż nie jest wtedy
przymuszony do akceptacji różnych wad,
zwłoki czy niezgodności w obawie przed
utratą swojej posady i przyznaniem się
do błędu? Jest to jeden z najpilniejszych
mechanizmów, jakie trzeba wprowadzić
do prawa i praktycznie w życie!
Etyka odbiorcy produktów
i użytkowników
Wobec nadwyżki podaży nad popytem
powszechną staje się praktyka nadużywania pozycji odbiorcy produktów informatycznych względem dostawców
oraz coraz częściej nieuczciwe praktyki
wobec dostawców. Odbiorca wiedząc
o swej przewadze wykorzystuje potencjalnych dostawców do bezpłatnego
przekazywania wiedzy i doświadczeń,
a wręcz przymusza do wykonania projektów technicznych za darmo. Wykorzystując nieuczciwie pozyskaną wiedzę kieruje się potem tylko ceną rozgrywając dostawców skomplikowanych
technologii na zasadach analogicznych
jak supermarkety dostawców przysłowiowej pietruszki. Na krótką metę dokonuje zakupu taniej, ale już średniookresowo może spodziewać się niskiej
jakości wynikającej z niskiej ceny, jaką
przymuszony dostawca mu zaoferował.
W takim wyścigu o cenę oraz braku
poszanowania wiedzy i pracy starających się o zamówienie burzy się etyczne podstawy współdziałania jednostek
gospodarczych podważając elementarne zaufanie pomiędzy podmiotami.
Innym problemem są kwalifikacje osób
występujących po stronie odbiorców
informatyki przypominające często
niestety kwalifikacje znachora.
Normy etyczne i świadomość otoczenia decydują o odpowiedzialności zawodowej. Odpowiedzialność informatyków zależy głównie od norm etycznych wpajanych w domu, w szkole i na
studiach, a potem w pracy zawodowej.
Nie ma takich regulacji czy certyfikacji, które by zastąpiły etykę zawodową
czy biznesową. Certyfikacje zawodowe
mogą być przydatne jako dodatek do
etyki, ale nie mogą jej zastąpić.
Niezależnie od systemu prawnego
oraz regulacji branżowych niezwykle ważną jest świadomość społeczna odbiorców, która decyduje, czy
akceptowane będą nieetyczne zachowania graczy rynkowych i quasiinformatycznych hochsztaplerów.
Środowisko winno położyć więc nacisk
na promocję tak norm etycznych oraz
otwartą ocenę i piętnowanie działań
przyjmujących ujmę zawodowi informatyka.
Polityka ala Guliani czyli nietolerancja
dla drobnych zagrożeń i zachowań nieetycznych jest jedyną metodą podnoszenia poziomu odpowiedzialności i jakości, czyli zapewnienia elementarnej
rzetelności zawodowej.
Znakomita większość ludzi chciałaby
normalnie żyć, pracować, tworzyć i bawić się mając komfort życia i tworzenia w uczciwym i etycznym otoczeniu,
w oparciu o zaufanie do innych. Jeżeli
nie będziemy się starać by ludzie dawali innym jakość, rzetelność i uczciwość
to nic nie powstanie, a my zginiemy nie
tylko jako branża i zawód, ale jako społeczeństwo.
© SOLIDEX, 2010
45
Rozliczanie usług typu prepaid w oparciu o SOLIDEX.callnet
Artykuł z Nr 5-6/2004 (65)
Operatorzy telekomunikacyjni oferują coraz więcej usług opartych o formułę przedpłaty. W artykule zostanie
zaprezentowane rozwiązanie usług typu prepaid w sieci Wireless LAN. Bezpośrednią kontrolę nad sesjami
użytkownika (dostępem do usług) sprawuje Cisco SSG (Service Selection Gateway). Rozwiązanie zbudowane
jest w oparciu o platformę SOLIDEX.callnet oraz serwer RADIUS Cisco Access Registrar.
Architektura rozwiązania
Rysunek 1 przedstawia szczegółową
architekturę dla billingu typu prepaid zrealizowaną w oparciu o platformę
SOLIDEX.callnet.
ƒƒ serwer relacycjnej bazy danych z ta-
blicami stanu konta (Persistent Storage)
ƒƒ serwer usług katalogowych z bazą
zdrapek (Scratch Card Database)
Realizacja usług typu prepaidowego oparta jest o specjalny tryb pracy pary: CAR, SSG. Polega on na tym,
że serwer RADIUS dzieli dostępny na
koncie użytkownika czas na mniejsze części. Pierwsze zapytanie SSG o
autoryzację użytkownika powoduje przekazanie przez CAR ułamkowej
części czasu dostępnego na koncie
klienta. SSG kontroluje zużycie czasu i tuż przed skończeniem się zwróconego w pierwszej autoryzacji czasu
wysyła zapytanie do CAR o ponowną
autoryzację.
Jeśli w odpowiedzi otrzyma kolejną
porcję czasu do wykorzystania kontynuje obsługę sesji użytkownika. Jeśli
odpowiedź będzie negatywna, SSG
powoduje przerwanie dostępu do
usługi.
Rys. 1 Architektura rozwiązania
Elementy składowe rozwiązania
Billing prepaid opiera się o kilka kluczowych elementów (pokazanych na rysunku):
ƒƒ serwer RADIUS z modułem Prepaid
Plugin
ƒƒ serwer aplikacji zgodny ze standardem J2EE z aplikacją billingową (Prepaid Application)
Serwer RADIUS
Serwer RADIUS współpracuje bezpośrednio z SSG. Dostarcza usługi AAA
(Authentication Authorization Accounting). W przypadku omawianego rozwiązania serwerem RADIUS jest produkt firmy Cisco: Access Registrar (w
dalszej części dokumentu skrótowo nazywany CAR).
Wielkość kwantu czasu przekazywana
do zużycia jest parametrem. Wyraża się
w sekundach. Podanie bardzo małego
kwantu czasowego może powodować
przeciążenie systemu ze względu na
ilość koniecznych do obsługi zapytań.
Taki mechanizm pracy pary: CAR, SSG
umożliwia realizację usług, gdzie dostępny do wykorzystania czas może
być dla każdej sesji liczony oddzielnie,
co w przypadku sesji równoległych
prowadzi do skrócenia dostępnego
czasu proporcjonalnie do ilości otwartych jednocześnie sesji.
Prepaid Plugin
CAR samodzielnie nie kontroluje zużycia czasu w sesjach użytkownika. Nie
posiada takiej funkcjonalności. Potrafi
natomiast współpracować z zewnętrznym systemem billingowym (w dal-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
46
20 lat SOLIDEX
szej części dokumentu będzie nazywany EBS od External Billing System).
W tym celu został wyposażony w możliwość dopinania się do EBS poprzez
udostępnioną przez producenta EBS
bibliotekę dynamiczną (Prepaid Plugin na rysunku). Biblioteka powinna
posiadać ściśle określoną funkcjonalność, która realizuje pracę w trybie
prepaid serwera CAR. Zadaniem CAR
jest tłumaczenie odwołania RADIUS
pochodzących z SSG na odpowiednie
wywołania funkcji biblioteki EBS rezydującej w nim.
Prepaid Plugin zawiera klienta architektury CORBA, który każde odwołanie CAR
przekłada na odpowiadające odwołanie
do komponetów EJB realizujących mechanizmy uwierzytelniania. Protokołem
komunikacyjnym wykorzystywanym do
połączenia się z serwerem aplikacji jest
protokół IIOP (jest element specyfikacji
architektury CORBA).
Prepaid Plugin zrealizowany jest w
oparciu o implementację architektury
CORBA: MiCO z wykorzystaniem języka
C++ oraz zdefiniowanego przez OMG
mapowania Java do C++.
Prepaid Plugin jest elementem platformy
SOLIDEX.callnet realizującym wymagania serwera CAR co do komunikacji z zewnętrznym systemem billingowym.
Serwer aplikacji z aplikacją
billingową
W rozwiązaniu SOLIDEX.callnet, system billingowy realizujący usługi prepaid jest obsługiwany przez serwer
aplikacji zgodny ze standardadem
J2EE. System billingowy jest zrealizowany w postaci komponentów EJB
(Enterprise Java Bean).
Specjalnie do zastosowania SOLIDEX.
callnet do współpracy z CAR przygotowane są moduły EJB, które bezpośrednio realizują opisany wcześniej mechanizm uwierzytelniania. Komunikacja pomiędzy CAR a komponentami EJB odbywa się za pośrednictwem biblioteki dynamicznej (Prepaid Plugin na rysunku).
Jak wspomniano wcześniej, realizacja
billingu w SOLIDEX.callnet oparta jest
o komponenty EJB serwera aplikacji
zgodnego ze standardem J2EE. Takie
rozwiązanie umożliwia proste zwiększanie niezawodności czy też wydajności poprzez odpowiednie konfigurowanie serwera aplikacji. Praktycznie każdy
z dostępnych serwerów aplikacji posiada mechanizmy automatycznego przenoszenia aktywnej aplikacji na inny serwer aplikacji w przypadku awarii czy
też dużego obciążenia.
Baza zdrapek
Kody zdrapek, oraz informacje o skojarzonych z nimi usługach, przechowywane są w bazie zdrapek (scratch card
database). Baza danych zdrapek dostępna jest dla aplikacji billingowej za
pomocą protokołu LDAP. Dostęp do
danych zapewnia JNDI (Java Naming
and Directory Interface) API.
Kody zdrapek są zapisane w postaci zaszyfrowanej. Każdy kod zdrapki posiada unikalny numer seryjny. Numer seryjny jest wykorzystywany przez bazę
stanu kont do gromadzenia informacji o zużyciu konta oraz pobierania informacji o stanie zdrapki przez administratorów.
Operatorzy telekomunikacyjni oferują
coraz więcej usług opartych o formułę
przedpłaty. W artykule zostanie zaprezentowane rozwiązanie usług typu prepaid
w sieci Wireless LAN.
Bezpośrednią kontrolę nad sesjami
użytkownika (dostępem do usług)
sprawuje Cisco SSG (Service Selection
Gateway). Rozwiązanie zbudowane
jest w oparciu o platformę SOLIDEX.
callnet oraz serwer RADIUS Cisco Access Registrar.
Relacyjna baza danych
ze stanami kont
Aplikacja billingowa wykorzystuje relacyjną bazę danych od przechowywania stanu konta użytkownika. Dostęp
do bazy danych realizowany jest przez
JDBC (Java Database Connectivity) API.
Relacyjna baza danych zawiera zestaw
tabel gdzie są przechowywane aktualne stany kont użytkowników. Konto
użytkownika (a właściwie jego stan) w
tej bazie powstaje w chwili pierwszego
skorzystania z usługi przez użytkownika. Sukcesywne komunikaty reautentykacji powodują obciążanie konta użytkownika. W bazie nie znajdują się żadne informacje pozwalające na jawne
odczytanie kodu zdrapki. Kod zdrapki
jest kodowany.
Typowy scenariusz pracy
W kolejnych podpunktach zostanie
przedstawiona praca całego systemu
realizującego billing prepaid od momentu autentykacji do zakończenia sesji. Zakładamy, że sesja jest przerywana
przez użytkownika.
Autentykacja
Serwer CAR żądanie autentykacji od
SSG przetwarza na odwołanie do biblioteki Prepaid Plugin. Woła funkcję
ebs_init_authenticate.
Prepaid Plugin znajduje na serwerze
aplikacji komponent odpowiedzialny za
realizację tej funkcji i poprzez IIOP wywołuje odpowiednią na nim metodę.
SOLIDEX.callnet na podstawie otrzymanych parametrów wyszukuje w bazie zdrapek odpowiednią zdrapkę. Jeśli nie znajdzie zwraca kod błędu, który przez Prepaid Plugin i CAR zostanie
przekazany w formie negatywnej odpowiedzi RADIUS.
Autentykacja możliwa jest na podstawie samego kodu zdrapki lub poprzez
parę: numer seryjny, kod zdrapki.
Autoryzacja
Zaraz po prawidłowej autentykacji następuje autoryzacja. Serwer CAR woła
w bibliotece Prepaid Plugin metodę
ebs_init_authorize.
Odwołanie jest przenoszone do SOLIDEX.callnet, który na podstawie otrzymanego kodu usługi sprawdza jej parametry i porównuje z dotychczasowym
© SOLIDEX, 2010
47
użyciem przez użytkownika, które jest
zapamiętane w relacyjnej bazie danych.
Jeśli dotychczasowe wykorzystanie
uniemożliwia dalsze kontynuowanie
usługi konto (a właściwie numer zdrapki) jest blokowany oraz zwracana jest
odmowa dostępu. W przeciwnym przypadku zwracana jest część czasu dostępnego dla użytkownika.
Reautoryzacja
Reautoryzacja następuje po wyczerpaniu limitu czasowego z autoryzacji lub poprzedniej reautoryzacji. Serwer CAR wywołuje w tym wypadku
metodę ebs_reauthorize. W odpowiedzi SOLIDEX.callnet dokonuje odjęcia
od stanu konta użytkownika wykorzystanego kawałka czasu (stosownie do
określonej metody odliczania czasu).
Następnie wykonuje porównania analogicznego jak w przypadku autoryzacji i zwraca kolejny kwant czasu lub
odmowę dostępu.
Wylogowanie - return quota
Jeśli użytkownik zakończy sesję przed
upływem ostatnio otrzymanego kwanta
czasu, SSG wysyła do CAR żądanie zwrócenia pozostałego czasu do puli. Serwer
CAR woła w wypadku metodę ebs_return_quota biblioteki Prepaid Plugin.
Odwołanie, jak we wszystkich pozostałych przypadkach, jest dostarczane do SOLIDEX.callnet do komponentu odpowiedzialne za tę funkcjonalność.
Właściwy komponent na serwerze aplikacji sprawdza sposób liczenia czasu dla
usługi (zegarowo lub ze skrócenie), ilość
innych sesji użytkownika i na tej podstawie odpowiednio modyfikuje stan konta użytkownika w relacyjnej bazie danych.
Parametry usług prepaid
Platforma SOLIDEX.callnet pozwala zdefiniować usługi, które mogą posiadać
następujące parametry (zmienne):
ƒƒ czas trwania połączeń
ƒƒ czas ważności usługi od pierwszego
wykorzystania
ƒƒ maksymalną ilość równoczesnych sesji
ƒƒ maksymalną ilość logowań w ramach
usługi
ƒƒ sposób konsumpcji czasu przez rów-
noczesnych użytkowników: zegarowo bez względu na ilość sesji lub ze
skróceniem czasu
ƒƒ wiele okresów ważności usługi co
umożliwia definiowanie usług ważnych w określonych porach dnia,
dnia tygodnia, miesiąca, itp.
ƒƒ lokalizacja podana w postaci: zakresu adresów IP lub definicji podsieci - umożliwia tworzenie usług ważnych tylko wtedy gdy adres IP uzyskany przez klienta jest zgodny z podaną podsiecią lub zakresem (funkcjonalność możliwa do wykorzystania tylko w wypadku gdy w zapytaniu o autentykację będzie podany
adres IP klienta - w przypadku sieci
WLAN jest spełniony).
Definicja usługi może korzystać z każdego z parametrów dzięki czemu istnieje możliwość kreowania zaawansowanych usług.
Niezawodność rozwiązania
Niezawodność rozwiązania osiąga się
przez zdublowania każdego z opisanych wyżej serwerów:
ƒƒ serwera RADIUS - CAR
ƒƒ serwera aplikacji
ƒƒ serwera usług katalogowych dla bazy
zdrapek
ƒƒ serwera relacyjnej bazy danych dla stanu kont.
Serwery baz danych: zdrapek i stanu kont muszą być w takim wypadku
zsynchronizowane ze sobą z wykorzystaniem mechanizmów replikacji.
Charakterystyka bazy zdrapek oferowanej przez SOLIDEX.callnet
Baza zdrapek platformy SOLIDEX.callnet
składa się z dwóch funkcjonalnych elementów:
ƒƒ generatora kodów zdrapek
ƒƒ operacyjnej bazy zdrapek.
Za pomocą generatora kodów zdrapek trworzone są zbiory kodów zdrapek skojarzone z usługami. Przydzielanie usługi do zbioru może się odbyć
w trakcie generacji zbioru lub później,
pod warunkiem, że ze zbiorem nie jest
skojarzona już usługa.
Każdy zbiór zdrapek charakteryzuję
się okresem ważności, który dziedziczą należące do niego kody zdrapek.
Wygenerowane zbiory zdrapek muszą zostać załadowane do operacyjnej bazy zdrapek aby mogły służyć
do autentykacji. Operacyjna baza
zdrapek jest obsługiwana przez SunONE Directory Server. Współpracuje bezpośrednio z systemem realizującym billing prepaid na platformie
SOLIDEX.callnet. Operacyjna baza
zdrapek zawiera dedykowany interfejs administracyjny dostępny za pomocą przeglądarki stron WWW. Pozwala administratorowi operacyjnej
bazy zdrapek na:
ƒƒ stwierdzenie stanu podanej zdrapki,
typu: aktywna, wykorzystana, przedawniona
ƒƒ zablokowanie i odblokowanie zdrapki
ƒƒ pokaznie historii użycia zdrapki.
Dostęp do każdej z operacji podlega
ochronie na zasadzie ról. Profil administratora jest przechowywany na serwerze usług katalogowych. Może to być
ten sam serwer, który obsługuje bazę
zdrapek jak również inny, wskazany w
konfiguracji interfejsu administracyjnego. Wykonanie operacji jest rejestrowane za pomocą mechanizmów daemona syslog.
Wykorzystane zbiory zdrapek podlegają przesunięciu z operacyjnej bazy
zdrapek na archiwalną bazę zdrapek.
Archiwalna baza zdrapek może mieć
postać:
ƒƒ wydzielonego serwera usług katalogowych
ƒƒ plików pozwalających odtworzyć zawartość zdrapek w serwerze usług
katalogowych.
Archiwizacja wykorzystanych kodów
zdrapek może być przeprowadzana
automatycznie oraz w dowolnym momencie na żądanie administratora systemu.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
48
20 lat SOLIDEX
System zarządzania treścią SmartContent
Artykuł z Nr 1/2005 (70)
Firmy i instytucje potrzebują systemów wspomagających zarządzanie portalami korporacyjnymi, które
odpowiadają ich potrzebom w zakresie prezentacji oferty, komunikacji z klientami i otoczeniem biznesowym.
Jednym z podstawowych elementów portali korporacyjnych są systemy klasy CMS (Content Management System).
Utrzymanie aktualności informacji i
zmienności publikowanych treści jest
dla portali korporacyjnych kluczową
kwestią związaną z ich efektywnością.
Wybór narzędzi i metody aktualizacji
informacji w przypadku dużej ich dynamiki stanowi kluczowe ogniowo odpowiedzialne za powodzenie lub fiasko całego procesu. W przypadku, gdy
ilość, dynamika i poufny charakter informacji wykluczają możliwość udziały w tym procesie firmy odpowiedzialnej za przygotowanie i utrzymanie serwisu, niezastąpionym narzędziem okazuje się system CMS. Również od strony
efektywności biznesowej (ROI) systemy
klasy CMS istotnie obniżają koszt aktualizacji i utrzymanie serwisów WWW
czy portali korporacyjnych.
System zarządzania treścią to aplikacja
internetowa pozwalająca na łatwą aktualizację i rozbudowę serwisu WWW
przez pracowników bez specjalistycznej wiedzy i doświadczenia. Modyfikacja i dodawanie nowych treści odbywa
się za pomocą prostych w obsłudze interfejsów użytkownika, zazwyczaj w
postaci stron WWW i edytora WYSYWIG (What You See Is What You Get).
Do podstawowych korzyści wynikających z wdrożenia systemu CMS należą:
ƒƒ obniżenie kosztów aktualizacji serwisu WWW
ƒƒ skrócenie czasu potrzebnego na dokonanie zmian
ƒƒ ograniczenie liczby osób zaangażowanych w proces aktualizacji
ƒƒ możliwość natychmiastowej reakcji na
zmiany w procesach biznesowych, otoczeniu rynkowym czy też wewnątrz organizacji
ƒƒ możliwość szybkiej zmiany interfejsu graficznego (wymiany szablonów
podstron)
ƒƒ łatwość rozbudowy serwisu o nowe
działy tematyczne dzięki modułowej
strukturze
ƒƒ możliwość integracji serwisu WWW z
innymi aplikacjami
ƒƒ ograniczenie ryzyka popełnienia błędu podczas przekazu treści podlegających aktualizacji
Głównym zadaniem aplikacji CMS jest
różnicowanie zawartości informacyjnej
serwisu od sposobu jej prezentacji. Po
wprowadzeniu nowych informacji przez
uprawniony zespół redakcyjny, system
zapisuje je w bazie danych, jednocześnie
wypełniając nimi odpowiednie miejsca
na stronach WWW. Wykorzystanie szablonów stron sprawia, że zmiana koncepcji graficznej całego serwisu sprowadza się do przygotowania i zamiany szablonu bez ograniczeń kompozycyjnych.
System zarządzania treścią umożliwia
osobom mającym znajomość korzystania z podstawowych aplikacji (np. edytory tekstu, przeglądarka internetowa) intuicyjne zarządzanie portalami. Rola tych
osób nie ogranicza się tylko do aktualizacji treści, ale polega na wspomaganiu
procesów publikacji, selekcji dokumentów oraz komunikacji z innymi systemami informatycznymi firmy. Zespół redakcyjny portalu uczestniczy więc w rzeczywistych procesach biznesowych firmy.
Jednym z software’owych rozwiązań,
rozwijanych przez WebService, jest profesjonalny system do zarządzania treścią
- SmartContent - łączący funkcje systemu
CMS, platformy integracji aplikacji oraz
cechy środowiska do budowy aplikacji
internetowych i rozwiązań portalowych.
System ten charakteryzuje się m.in. następującą funkcjonalnością:
ƒƒ wizualne narzędzie do zarządzania
treścią w trybie WYSYWIG (What You
See Is What You Get)
ƒƒ mechanizmy obsługujące przepływ
treści pomiędzy osobami odpowiadającymi za ich redagowanie, autoryzację i publikację w serwisie (tzw.
workflow engine)
ƒƒ mechanizmy zabezpieczeń i uprawnień do systemu
ƒƒ predefiniowane typy treści z możliwością tworzenia nowych
ƒƒ wsparcie dla wersji wielojęzycznych
serwisu
Aplikacja SmartContent budowana
jest w oparciu o standardowe elementy serwisów WWW oraz rozwiązania indywidualnie dopasowywane do specyficznych potrzeb danego projektu, a
otwarta struktura i technologia umożliwia sukcesywne rozbudowywanie serwisu o kolejne moduły w miarę pojawiających się potrzeb. System współpracuje z bazami danych zawierającymi informacje, zdjęcia i grafiki przeznaczone do dynamicznej publikacji. Zmianom nie podlega całość publikacji, lecz
jedynie pojedyncze rekordy dodawane
do baz danych. Rekordy z baz danych
przenoszone są do szablonów na podstronach. Dzięki temu, mimo częstych
zmian, zachowany zostaje spójny układ
całości prezentacji. Dodatkowo funkcjonalność platformy poszerzona jest o
możliwość samodzielnego zamieszczania w serwisie nowych podstron, dzięki wykorzystaniu uprzednio przygoto-
© SOLIDEX, 2010
49
wanych szablonów podstron oraz możliwość usuwania nieaktualnych podstron. SmartContent charakteryzuje się
niezwykłą prostotą obsługi. Dzięki odpowiednio przygotowanej nawigacji
i przyjaznemu interfejsowi umożliwia
osobie zaznajomionej z obsługą przeglądarki internetowej samodzielne dokonywanie zmian w zawartości serwisu WWW.
Technologia SmartContent
System SmartContent zbudowany został w oparciu o technologię budowy
aplikacji Zope oraz system do zarządzania treścią Plone. Oprogramowanie to
stanowi trzon systemu. Zope jest jednym z najpopularniejszych serwerów
aplikacji, a także obiektowym i wielowarstwowym środowiskiem dla publikacji internetowych, rozwijanym na zasadzie „open source”. Jest on opracowany specjalnie z myślą o zarządzaniu treścią, obsłudze systemów portalowych,
a także dedykowanych aplikacji. Poza
serwowaniem treści publikacji, pozwala przede wszystkim na zarządzanie tą
treścią, wyszukiwanie, budowanie indeksów itp. Technologia Zope stanowi
doskonałą platformę dla aplikacji webowych, jest także wydajnym środowiskiem do tworzenia aplikacji internetowych. Najważniejsze cechy środowiska
Zope:
ƒƒ obsługa zabezpieczeń na dowolnym
poziomie zasobów
ƒƒ wbudowana wewnętrzna, obiektowa baza danych ZODB
ƒƒ sprawny system indeksowania obiektów - rozwiązuje problem przeszukiwania treści portalu
ƒƒ obsługa standardu kodowania znaków UNICODE - kluczowy element
dla wielojęzyczności witryny
ƒƒ dostępność na wszystkich popularnych platformach sprzętowych - ze
względu na zastosowany język skryptowy Python
ƒƒ wydajne programowanie dynamicznych stron
Środowisko Zope składa się z kilku
współpracujących ze sobą komponentów ułatwiających tworzenie aplikacji
webowej. Podstawowe komponenty
oraz architektura środowiska Zope zostały przedstawione na poniższym diagramie:
tworzone w Zope nie muszą być przechowywane w jej integralnej bazie danych ZODB. Zope w tym zakresie współpracuje z takimi relacyjnymi bazami da-
Wyjaśnienia do diagramu:
nych jak Oracle, PostgreSQL, Sybase,
MySQL oraz innym bazami opartymi na
języku SQL.
File System - system plików Zope pracuje z dokumentami oraz innymi plikami zgromadzonymi na serwerze.
ZClasses - Zope pozwala użytkownikom tworzącym aplikację na dodawanie nowych typów obiektów przy użyciu tzw. Zope Management Interface.
ZClasses są właśnie tymi nowymi typami obiektów.
Products - Zope pozwala użytkownikom tworzącym aplikację na dodawanie nowych typów obiektów poprzez
instalowanie całych plików z nowymi
typami (zwanych „Product files”) na
serwerze Zope’a.
ZServer - wbudowany serwer WWW
publikujący treści. Treści mogą być publikowane poprzez FTP, WebDAV oraz
XML-RPC.
Web Server - Zope współpracuje także
z zewnętrznymi i popularnymi serwerami aplikacji i WWW takimi jak Apache
lub Microsoft IIS.
Zope Core - rdzeń technologii Zope koordynujący pracę pozostałych komponentów
Object Database (ZODB) - obiektowa
baza danych, w której mogą być przechowywane obiekty tworzone w tym
środowisku.
Relational database - dane i obiekty
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
50
20 lat SOLIDEX
Kolejną technologią wykorzystaną do
budowy SmartContent jest Plone. Jest
to system oferujący funkcjonalność zarządzania treścią. Jego zaletą jest łatwość integracji z oprogramowaniem i
technologią Zope - połączenie obu tych
technologii stanowi fundament do tworzenia systemów webowych. Oprogramowanie Plone uzupełnia technologię
Zope dodając w zakresie funkcjonalności CMS wygodny interfejs do zarządzania treścią. Interfejs ten wizualnie oparty
jest na folderach z możliwością przeglądania ich zawartości.
Podstawowe funkcjonalności systemu
Plone na podstawie http://www.cmsmatrix.org/:
Security:
ƒƒ Audit Trail
ƒƒ Content Approval
ƒƒ Granular Privileges
ƒƒ Kerberos Authentication
ƒƒ LDAP Authentication
ƒƒ NIS Authentication
ƒƒ Pluggable Authentication
ƒƒ Sandbox
ƒƒ SMB Authentication
ƒƒ Versioning
Ease of Use:
ƒƒ Email To Discussion
ƒƒ Friendly URLs
ƒƒ Macro Language
ƒƒ Server Page Language
ƒƒ Spell Checker
ƒƒ Template Language
ƒƒ Undo
ƒƒ WYSIWYG Editor
Performance:
ƒƒ Advanced Caching
ƒƒ Load Balancing
ƒƒ Page Caching
ƒƒ Static Content Export
Management:
ƒƒ Asset Management
ƒƒ Clipboard
ƒƒ Content Scheduling
ƒƒ Inline Administration
ƒƒ Online Administration
ƒƒ Package Deployment
ƒƒ Sub-sites / Roots
ƒƒ Themes / Skins
ƒƒ Trash
ƒƒ Web-based Style/Template Management
ƒƒ Web-based Translation Management
ƒƒ Workflow Engine
Interoperability:
ƒƒ Content Syndication (RSS)
ƒƒ FTP Support
ƒƒ UTF-8 Support
ƒƒ WAI Compliant
ƒƒ WebDAV Support
ƒƒ XHTML Compliant
Flexibility:
ƒƒ CGI-mode Support
ƒƒ Content Reuse
ƒƒ Extensible User Profiles
ƒƒ Interface Localization
ƒƒ Metadata
ƒƒ Multi-lingual Content
ƒƒ Multi-lingual Content Integration
ƒƒ Multi-Site Deployment
ƒƒ URL Rewriting
ƒƒ Wiki Aware
Built-in Applications:
ƒƒ Blog
ƒƒ Document Management
ƒƒ Events Calendar
ƒƒ File Distribution
ƒƒ Search Engine
ƒƒ User Contributions
Architektura logiczna
Architekturę logiczną SmartContent można przedstawić ze względu na kilka różnych podziałów. Pierwszy z nich to podział
ze względu na wirtualne serwery/usługi, z
których każdy realizuje pewną grupę funkcji. Na poziomie wirtualnych serwerów istnieje możliwość zapewnienia skalowalności i niezawodności całego systemu, poprzez rozbudowę o kolejne serwery i delegację obciążenia na nie. Ze względu na
funkcjonalność, możemy wyróżnić następujące główne składniki systemu:
1. Warstwę prezentacyjną, realizowaną dwuczęściowo:
a. w zakresie produkcji przez warstwę logiczną
b. w zakresie sieciowym przez odpowiednie serwery (np. WWW), które
dodatkowo mogą działać wspól-
nie z urządzeniami typu ContentCache. Warstwa prezentacyjna realizowana przez system jest w pełni oparta na mechanizmie szablonów i całkowicie rozdziela aspekty
prezentacji od logiki, dając tym samym bardzo duże możliwości, jeśli
idzie o realizację innych kanałów
dostępu (MDA/PDA/WAP)
2. Warstwę logiczną, gdzie zlokalizowana jest całość logiki biznesowej
systemu.
3. Warstwę interfejsów, która odpowiada za współpracę z systemami
zewnętrznymi, zarówno w zakresie
komunikatów wychodzących, jak i
przychodzących.
4. Warstwę SQL, gdzie dostępna jest
relacyjna baza danych, odpowiedzialna za przechowywanie dużej
ilości danych (między innymi wszelkie dane do generowania raportów),
pasujących do relacyjnego modelu
dostępu.
5. Warstwę ZODB, gdzie dostępna jest
obiektowa baza danych, odpowiedzialna za przechowywanie dużej
ilości danych, nie pasujących do relacyjnego modelu dostępu.
6. Warstwę FS, czyli podsystem plików,
wydzielony osobno ze względu na
fakt, iż architektura systemu przewiduje przechowywanie dużej ilości
danych w postaci załączników plikowych.
Platforma oprogramowania
System SmartContent rozwijany jest
w oparciu o sprawdzone komponenty
Open Source, każdorazowo dodając do
tego całą logikę zrealizowaną konkretnie pod potrzeby danego projektu.
Komponenty wykorzystane w systemie
SmartContent:
Technologia/Wymaganie
Serwer Prezentacyjny (WWW)
Serwer aplikacyjny
System CMS
Język
Baza danych SQL (opcjonalnie)
Serwer SMTP
Protokoły
Formaty danych
© SOLIDEX, 2010
51
ƒƒ Obszar dla Partnerów - dla firm z branży IT/telecom współpracujących z PTC
ƒƒ Obszar dla pracowników PTC - dla
osób odpowiedzialnych za obsługę
Programu Partnerskiego, opiekunów
Partnerów, administratorów i redaktorów treści
Oprogramowanie
Apache, w wersji 2.x
Zope, w wersji 2.7
Plone, w wersji 2.x
Python, w wersji 2.3.x
MySQL, w wersji 4.x
Dowolny zgodny z RFC
HTTP, HTTPS, XML-RPC, SMTP
XML, HTML, MIME
Case study - „Era IT Portal”
Na zlecenie Polskiej Telefonii Cyfrowej,
operatora telefonii komórkowej Era,
WebService wykonał portal „Era IT Part-
ner” - system intranetowy i ekstranetowy. Celem projektu było stworzenie zaawansowanej platformy wspomagającej zarządzanie współpracą z firmami w ramach Programu Partnerskiego
prowadzonego przez PTC Era. By sprostać wymaganiom klienta, wdrożony
został system SmartContent.
Prace nad projektem rozpoczęto od
analizy wymagań PTC. Portal został podzielony na trzy główne obszary:
ƒƒ Obszar podstawowy - dla nieautoryzowanych użytkowników serwisu
Ważnym elementem projektu była integracja portalu z wewnętrznym systemem zarządzania procesami biznesowymi PTC. Wybrane funkcjonalności
SmartContent wdrożone w portalu PTC:
ƒƒ Wizualne narzędzie do zarządzania
treścią w trybie WYSYWIG
ƒƒ Mechanizm Workflow Engine - obsługujący przepływ treści pomiędzy
osobami odpowiadającymi za ich redagowanie, autoryzację i publikację
w serwisie
ƒƒ System nadawania uprawnień dostępu do wybranych części Portalu (np.
wybrane informacje o produktach i
usługach PTC, formularze kontaktowe)
ƒƒ System zarządzania użytkownikami
Portalu (tworzenie nowych użytkowników, grupowanie)
ƒƒ System generowania raportów (miedzy innymi: aktywność Partnera, raporty stanu prowadzenia wspólnie
realizowanych projektów)
ƒƒ Zaawansowana wyszukiwarka treści
Portalu
Projekt zrealizowano w 5 miesięcy. Docelowo z Portalu Partnerskiego ma korzystać ponad kilkuset Partnerów oraz
kilkudziesięciu specjalistów odpowiedzialnych za realizacje Programu Partnerskiego po stronie PTC.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
52
20 lat SOLIDEX
Produkty WebService: more:multinetR.CBSG
Artykuł z Nr 2/2006 (83)
Życie wypełnione jest treścią. Wszystko wokół nas jest swego rodzaju treścią. Operatorzy telekomunikacyjni zauważyli
tę prostą prawdę życiową i próbują budować usługi bazujące na treści. Zwrot „bazujące na treści” oznacza w tym
wypadku usługi gdzie podstawowym wymiarem, za który nam abonentom przychodzi płacić jest treść. Nie czas,
jak w usługach głosowych, czy też przepływ jak w usługach dostępu do sieci, tylko nowa jakość: treść.
more:multinetR.CBSG
- przeznaczenie
Budowanie nowych usług zawsze jest
wyzwaniem. W przypadku treści pierwsze lody zostały już przełamane: chętnie kupujemy muzykę i słuchamy jej na
przenośnych odtwarzaczach. Towarzyszyła temu konieczność przełamania
kilku barier ze strony nas odbiorców:
ƒƒ pewne treści w tzw. Internecie nie są
bezpłatne - ciężko było przełamać tę
barierę postrzegania sieci jako źródła
wszelkiego rodzaju cyfrowego dobra
„za darmo” - technologia nam w tym
nie pomoże, musimy przewartościować nasze postrzeganie Internetu i
uszanować prawa autorów, twórców,
wykonawców do pobierania opłat za
swoją pracę
ƒƒ niepewność co w zamian dostaniemy - czy treść z Internetu jest taka
sama jak dystrybuowana innymi kanałami, czy jest bezpieczna, pozbawiona wirusów oraz dostępna w wielu formatach
ƒƒ przyzwyczajenie się do skomplikowanych systemów zakupu cyfrowego „dobra” - tworzenie kont, przesyłanie przelewów, wysyłanie SMS o
podwyższonej opłacie
Połączenie zaufania jakim darzymy naszego operatora komórkowego z rozwiązaniem oferowanym przez WebService pozwala na proste i pewne dostarczenie treści do abonentów.
Unikalne na skalę światową rozwiązanie more:multinetR.CBSG (skrót od:
Content Billing Support Gateway) usuwa wszystkie niedogodności związane z najpopularniejszymi dziś sposobami płacenia za treść za pomocą dedy-
kowanych kont czy też SMS o podwyższonej opłacie. Nie trzeba już tworzyć
kont w serwisach internetowych sprzedających treść ani wypisywać SMS o
magicznej treści ani pamiętać dziesiątek nazw kont i haseł dostępowych.
Jedyne co wystarczy nauczyć abonenta to to, że korzystając ze Swojej komórki zawsze znajdzie coś miłego dla
Swojego ucha, szybko i pewnie, bez
żadnych haseł, kodów i SMSów. Tylko
dlatego, że jest Twoim abonentem.
Rozwiązanie more:multinetR.CBSG zagwarantuje, że dostawcy treści będą
dokładnie wiedzieli, który abonent jaką
treść pobrał, dzięki czemu nie ma problemów z wystawieniem tylko jednej
faktury czy też obciążeniem konta abonenta przedpłatowego. Rozliczenie pomiędzy właścicielem treści a dostawcą
Internetu może nastąpić w dowolnym
momencie i bez angażowania abonenta - podobnie jak dla innych usług telekomunikacyjnych, np. roamingu krajowego czy też zagranicznego.
Abonenci również będą zadowoleni
- nie muszą nic konfigurować aby zacząć korzystać z ułatwionego dostępu
do treści. Swoją ulubioną muzykę będą
mogli ściągnąć nie tylko na komórkę. W
taki sam sposób będą mogli pobrać ją
na komputer podłączony do komórki
dostarczającej Internet. Bez żadnej dodatkowej konfiguracji.
Opcjonalnie rozwiązanie more:multinetR.
CBSG można wyposażyć we wszelkie znane rozwiązania podnoszące bezpieczeństwo przekazywanej treści jak na przykład
skanery antywirusowe.
Każdy ze współpracujących dostawców treści podłączany jest do systemu more:multinetR.CBSG z wykorzystaniem firewalli dzięki czemu następuje separacja sieci usługowej oraz poszczególnych dostawców. Dzięki możliwości wielokrotnego podłączenia tego
samego dostawcy zwiększa się dostępność usług (treści) oferowanych przez
poszczególnych podwykonawców.
more:multinetR.CBSG
- funkcjonalność
Rozwiązanie more:multinetR.CBSG instaluje się w rdzeniu sieci IP służącej
do obsługi abonentów. Posiada połączenie z systemem uwierzytelniania
abonentów (protokół RADIUS) oraz
pozwala na:
ƒƒ dowolne modelowanie i sterowanie
uwierzytelnianiem abonentów w tym:
‚‚ zwielokrotnianie sygnałów komunikacji
‚‚ terminowanie sygnałów
‚‚ przesyłanie do innych systemów
terminujących sygnalizację
‚‚ rozpoznawanie pochodzenia abonenta (HPLMN/VPLMN)
‚‚ proste rozszerzanie o kolejne zasady
filtrowania, rozpoznawania i redystrybucji sygnałów komunikacyjnych
ƒƒ uzupełnianie zapytań o treść o identyfikację abonenta dla wybranych
zakresów URL
ƒƒ funkcję potwierdzenia pobrania treści (ang. Advice on Charge)
ƒƒ zero konfiguracji po stronie abonenckiej
ƒƒ blokowanie wybranych zakresów URL
ƒƒ realizację funkcji w pełni przeźroczystego proxy dla typowych protokołów dostępu do treści, łącznie z przeźroczystością adresacji IP
© SOLIDEX, 2010
53
ƒƒ możliwość sprawdzania treści prze-
syłanych do abonentów pod kątem
wystąpienia niebezpiecznych kodów
komputerowych - np. wirusów
ƒƒ fizyczną i logiczną separację podłączenia dostawców treści do sieci
usługowej
ƒƒ centralne zarządzanie i nadzorowanie z wykorzystaniem protokołu
SNMP.
more:multinetR.CBSG
- skalowalność i dostępność
Wysoka skalowalność prezentowane rozwiązanie uzyskuje dzięki zastosowaniu
najlepszych na rynku podzespołów od
uznanych producentów oraz bezkompromisowości w trakcie projektowania.
Zastosowane komponenty firm:
ƒƒ Cisco System - sprzęt sieciowy, w tym
przełączniki, firewalle, routery
ƒƒ Sun Microsystems - serwery oraz elementy oprogramowania Java Enterprise System pozwalają wyskalować
system zarówno dla sieci charakteryzującej się przepływem na poziomie kilku megabitów na sekundę jak
również dla sieci o rzeczywistej przepływności znacznie powyżej stu megabitów na sekundę.
Przeznaczenie rozwiązania do pracy w
sieciach operatorów sieci komórkowych
niesie za sobą konieczność sprostania
wymaganiom rynku telekomunikacyjnego, nie tylko pod kątem wydajności.
Również wysoka dostępność rozwiązania jest bardzo istotną cechą. Realizo-
wana jest przez co najmniej zdwojenie
każdej z funkcjonalności wchodzącej w
skład systemu, począwszy od zasilaczy,
bez żadnych kompromisów.
more:multinetR.CBSG
- podsumowanie
Autorskie rozwiązanie more:multinetR.
CBSG odpowiada na zapotrzebowanie
rynku dostawców Internetu o system
ułatwiający, wspierający dostarczanie
treści do abonentów. Z pominięciem
zbędnych i uciążliwych kroków, z zachowaniem maksimum komfortu dla
wszystkich stron. Przeznaczone jest dla
operatorów usług telekomunikacyjnych chcących zaoferować swoim abonentom ułatwiony dostęp do płatnych
treści.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
54
20 lat SOLIDEX
Kompendium wiedzy o load balancingu oraz omówienie
load balancerów firmy Cisco, Juniper i F5
Artykuł z Nr 9-10/2007 (94)
Optymalizacja działania i dostępności usług oraz serwerów jest kluczowym, obok bezpieczeństwa, zagadnieniem
przy projektowaniu data center.
Głównymi argumentami, które przemawiały za pojawieniem się pierwszych
load balancerów (content switch’y) były:
ƒƒ podniesienie wydajności data center
i zasobów w nim znajdujących się,
ƒƒ postępująca migracja aplikacji typu
klient-serwer do architektury, w której klientem jest przeglądarka internetowa (architektury opartej o protokoły HTTP, HTTPS).
Typologia wdrożenia i umiejscowienia
Load balancera, który ewoluował na
przestrzeni lat, została przedstawiona
na Rys.1. W telegraficznym skrócie, działanie load balancera opiera się na inteligentnym pośredniczeniu w transakcjach pomiędzy klientami a serwerami.
Inteligencja ta polega na optymalnym
wyborze serwera, który będzie obsługiwał zapytania klientów tak, aby zminimalizować możliwość wystąpienia przeciążeń serwerów i niedostępności usług
w chwili, gdy pozostałe serwery w danej farmie nie są zajęte. Optymalny wybór serwera jest możliwy dzięki próbkowaniu, realizowanym przez load balancer, czyli badaniu dostępności i zajętości
konkretnych serwerów, będących częścią farmy widzianej przez klienta pod
jednym adresem VIP. Wybór konkretnego serwera dokonywany jest przez algorytm load balancingu oraz na podstawie polityki (reguł) zdefiniowanych
na load balncerze.
Należy zwrócić szczególną uwagę na
fakt, iż balansować można nie tylko usługi serwerowe (HTTP, FTP), ale również pozostały ruch pojawiający się w data center, tj. ruch podlegający inspekcji firewall,
bądź IPS. Dzięki temu możliwe jest balansowanie nie tylko usług, ale i urządzeń.
Rys. 1 Typowa topologia i terminologia stosowana w load balancingu
W ofercie SOLIDEX znaleźć można następujące urządzenia umożliwiające
balansowanie ruchu:
ƒƒ Cisco: urządzenia z serii ACE, CSM,
CSS;
ƒƒ Juniper: urządzenia z serii DX;
ƒƒ F5: urządzenia z serii BIG-IP.
W niniejszym artykule skoncentrujemy się na tym, w jaki sposób działają
współczesne load balancery, z jakich
mechanizmów i technologii korzystają oraz omówimy wybrane z oferty
Solidex urządzenia balansujące Cisco
ACE i Juniper DX oraz F5 BIG-IP. Szczegółowo zostaną omówione rodzaje i
technologie balansowania ruchu, akceleracji, dostępności, zarządzania,
które umożliwią czytelnikowi sprecyzowanie oczekiwań wobec współczesnych urządzeń balansujących. Wspomniane zostaną również funkcje bezpieczeństwa realizowane przez load
balancery.
Ewolucja urządzeń balansujących
Patrząc z dzisiejszego punktu widzenia, pierwsze load balancery realizowały jedynie typowe balansowanie L4, w których decyzja dotycząca
przekierowania ruchu na konkretny
serwer mogła być i zazwyczaj była
podejmowana na podstawie pierwszego pakietu. Load balancer L4 wykrywa nadchodzące flowy do serwerów znajdujących się w grupie VIP na
podstawie flagi SYN bit set. Balansowanie flowów realizuje poprzez wybranie najlepszego kandydata do
dostarczenia pakietu TCP SYN, jednak bez terminacji sesji TCP. Istotą
balansowania L4 jest fakt, iż load balancer nie uczestniczy w terminowaniu sesji TCP. Decyzja o przekierowaniu ruchu podejmowana jest w oparciu o informacje z warstw L2-L4 i z
tego powodu load balancer L4 jest
kompletnie przezroczysty dla protokołów warstw wyższych.
© SOLIDEX, 2010
55
Dość szybko okazało się, iż balansowanie ruchu, jedynie na podstawie informacji zawartych w warstwie czwartej,
nie jest optymalne. Niebagatelne znaczenie miała w tym wypadku rozbudowa infrastruktury serwerów oraz ich
podział warstwowy na serwery typu
front-end (WWW), serwery aplikacyjne oraz serwery back-end (bazy danych). Naturalnym więc rozwinięciem
balancerów L4 stały się load balancery L4-L7 (application switche). Zasadnicza różnica w stosunku do ich poprzedników polega na tym, iż load balancery
L4-L7 ‚przerywają’ oryginalny flow i terminują sesję TCP na obu końcach - po
stronie klienta (przeglądarki) i serwera. Load balancer L4-L7 posiada świadomość aplikacji, dlatego może dokonać balansowania L5-L7, jednak dzieje
się to dopiero po ustaleniu i zbuforowaniu sesji L4 (TCP). Balancery L4-L7 inspekcjonują aplikacje (np. HTTP) na poziomie obiektowym w sposób ciągły, a
inspekcja ta jest niezależna od kierunku sesji (flowa).
Kolejnym krokiem na drodze ewolucji
load balancerów stała się optymalizacja urządzeń w data center, a konkretnie ich integracja. Postępująca ewolucja w zakresie technologii wykorzystywanych w data center spowodowała wzrost liczby urządzeń dedykowanych do realizacji konkretnych zadań, tj. akceleracji, inspekcjonowania
ruchu HTTP, terminacji sesji SSL, itp.
Współczesne load balancery integrują
te funkcje, są zatem nie tylko urządzeniami realizującymi balansowanie, ale
również urządzeniami podnoszącymi
poziom bezpieczeństwa w data center. Prowadzone przez instytut Gartnera badania jednoznacznie wskazują,
że wielousługowe load balancery mają
przed soba przyszłość. Niekwestionowanym argumentem przemawiającym
za ich rozwojem jest fakt zarządzania.
Patrząc z tej perspektywy, utrzymywanie w data center wielu urządzeń, takich jak klasyczne load balancery, terminatory sesji SSL, itp., często pochodzących od różnych producentów, jest
kosztowne i rodzi wiele problemów na-
tury administracyjnej. Dodatkowo instalacja wielousługowych (zintegrowanych) load balancerów minimalizuje niedogodności związane z opóźnieniami i niestabilnością wprowadzaną
przez wiele urządzeń.
Patrząc na ewolucję urządzeń balansujących, kwestią czasu wydaje się być zaimplementowanie w nich aplikacyjnych
mechanizmów balansujących. Umożliwią one balansowanie ruchu kierowanego, np. do baz danych (Oracle, DB2,
Postgress), nie tylko na podstawie zapytań SQL, ale również w oparciu o zaimplementowane wewnętrzne protokoły
komunikacyjne dla konkretnych baz danych.
Load balancing - omówienie metod
rozkładania i próbkowania ruchu
Mimo, iż współczesne load balancery integrują wiele funkcji, jednak ich zasadniczą rolą jest balansowanie i akceleracja
ruchu. Load balancery umożliwiają balansowanie protokołów HTTP, HTTPS,
FTP oraz pozostałego ruchu TCP, UDP.
Mogą pracować też w różnych trybach,
w zależności od realizowanego typu balansowania. Gdy urządzenie realizuje
balansowanie L4, pracuje jako switch L4,
natomiast gdy balansuje ruch do warstwy siódmej włącznie, pracuje w trybie
reverse-proxy. W obu przypadkach load
balanacery realizują translację adresów
(NAT). Destination NAT realizowany jest
domyślnie i polega na tym, iż klienci odwołują się do adresu VIP farmy serwerów, który zostaje zmieniony na adres
konkretnego serwera z grupy VIP. Invers
NAT z kolei powoduje, iż klienci nie widzą rzeczywistych adresów IP serwerów
i widzą jedynie wirtualny adres VIP.
Balansowanie polega na optymalnym
(równomiernym) rozłożeniu ruchu i
możliwe jest dzięki algorytmom lb i definiowanym regułom. Oczywiście różni
producenci implementują odmienne
algorytmy, zależy to również od konkretnego modelu, nie mniej jednak do
najbardziej popularnych spośród nich,
implementowanych w load balancerach należą:
ƒƒ Round Robin: klasyczne balansowa-
nie - kolejna sesja przekierowywana
jest sekwencyjnie na kolejny serwer,
ƒƒ Weighted Round Robin: Round Robin
wzbogacony o możliwość przypisania wag serwerom,
ƒƒ Least Conncetions: ruch jest przekierowywany do serwera z najmniejszą
liczbą aktywnych połączeń,
ƒƒ Weighted Least Connections: Least
Connections wzbogacone o możliwość przypisania wag serwerom,
ƒƒ Maximum Connections: ruch jest przekierowywany na inny serwer wówczas, gdy na obecnym liczba aktywnych połączeń osiągnie zdefiniowaną,
maksymalną wartość,
ƒƒ Backup Chaining: ruch jest przekierowywany na inny serwer, gdy obecny
ulegnie awarii - wykorzystywany zazwyczaj, gdy serwery posiadają redundancję typu fail-over,
ƒƒ Hashing (IP, URL, Cookie, HTTP Header): algorytm ten hashuje (podpisuje funkcją skrótu) np. URL,
ƒƒ Fewest Outstanding Request: algorytm
balansowania ruchu HTTP, HTTPS. Algorytm ten bierze pod uwagę kontekst transakcji HTTP, a nie tylko kryteria warstw niższych. Dostępny na
platformie Juniper DX po wykupieniu dodatkowej licencji.
W kontekście balancingu bardzo ważne jest próbkowanie (health checking,
keepalive). Ono bowiem dostarcza informacji do algorytmów balansujących
na temat dostępności, a więc możliwości wyboru serwerów do obsłużenia
połączeń. Serwery są odpytywane cyklicznie, co pewien czas, a w przypadku braku odpowiedzi na kilka kolejnych
próbek uznawane są za nieaktywne i
niebierze się ich pod uwagę w trakcie
balansowania ruchu. Obecnie próbkowanie wykonywane przez load balancery, nie jest trywialne. Load balancery potrafią sprawdzić dostępność serwera, nie tylko standardowo na poziomie warstwy trzeciej (za pomocą pakietów ICMP), ale również w oparciu o
warstwy wyższe: L4-L7. Ponadto load
balancery umożliwiają również definiowanie własnych próbek (skryptów),
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
56
20 lat SOLIDEX
które mogą badać odpowiedzi na określony ciąg znaków wysłany do serwera,
a także ich czas. W przypadku Junipera,
aby skorzystać ze skryptów, konieczne jest wykupienie dodatkowej licencji
OverDrive. W Cisco, podobnie jak w F5,
mechanizm próbkowania jest znacznie bardziej rozbudowany i nie wiąże się z zakupem licencji. Istnieje wiele metod badania dostępności serwerów, a wśród najpopularniejszych możemy wyróżnić:
ƒƒ Layer 3:
‚‚ ICMP (ping),
ƒƒ Layer 4:
‚‚ TCP/UDP (Ustanawianie połączeń
TCP/UDP, TCP SYN),
‚‚ Echo/Finger,
ƒƒ Layer 5-7:
‚‚ HTTP (Weryfikacja kodu odpowiedzi serwera WWW na żądania HTTP
GET,
‚‚ HTTPS (Ustanawianie prawdziwych
sesji SSL) o FTP (Weryfikacja kodu
odpowiedzi serwera FTP na żądania
GET, LS),
‚‚ Telnet (Wykonywanie połączeń na
port 22, wysyłanie komend QUIT i
badanie kodu odpowiedzi),
‚‚ SMTP (Wykonywanie połączeń na
port 25, wysyłanie wiadomości
HELO/QUIT i badanie kodu odpowiedzi),
‚‚ POP3/IMAP - (Weryfikacja kodu odpowiedzi po odebraniu maila),
‚‚ RADIUS (Możliwość skonfigurowania NAS-IP)
‚‚ LDAP (Wykonywanie zapytań LDAP),
‚‚ DNS (Wykonywanie zapytań DNS).
Akceleracja - zwiększenie poziomu
wydajności data center
Load balancery są urządzeniami, które
poprzez balansowanie mogą podnosić
dostępność zasobów data center, a także wydajność, zmniejszając konieczność
inwestowania w nowe serwery. Omówiona poniżej akceleracja odnosi się do
load balancerów L4-L7,pracujących w
trybie reverse-proxy. Do podstawowych
mechanizmów akcelerujących możemy
zaliczyć:
ƒƒ TCP Reuse (TCP Offload, Server Offload): Ideą tej metody jest przyspie-
szenie działania aplikacji web-based
przez odciążenie serwerów. TCP Offload umożliwia multipleksowanie
wielu tysięcy, milionów zapytań kierowanych od klientów do serwerów.
Umożliwia to redukcję wielu zapytań do kilku stałych (persistant) sesji TCP, utrzymywanych między load
balancerem a farmą serwerów, w ramach których przekazywane są dane
dotyczące warstw wyższych (HTTP).
W ten sposób odciążane są serwery, które nie muszą zajmować się zarządzaniem tysiącami TCP nawiązywanymi przez poszczególnych klientów. Należy zwrócić jednak uwagę na
fakt, że TCP Offload, w związku z wykorzystaniem sesji persistant, wymaga metod zapobiegających problemowi ‚shopping cart’. Problem ten
jest szczególnie dokuczliwy w przypadku zakupów online przez Internet. Polega na tym, iż kilka serwerów
uczestniczy w transakcji kupna, np.
sesja przeglądania produktów obsługiwana jest przez jeden serwer, wybór produktów i umieszczenie ich w
koszyku przez drugi serwer, a samo
potwierdzenie i zapłata przez trzeci. Może zdarzyć się, że w ramach sesji persistant nie zostaną odpowiednio przekazane informacje na temat
klienta, przedmiotu transakcji kupna pomiędzy serwerami i transakcja
nie dojdzie do skutku. Aby temu zapobiec, load balancery wykorzystują
poniższe metody:
‚‚ stickiness - Load balancer wysyła
połączenia z tego samego serwera
do tego samego klienta,
‚‚ identyfikacji klienta - Source IP, Cookie, SSL ID, HTTP Redirect.
Firma Juniper podaje, iż współczynnik
multipleksowania może kształtować się
na poziomie 2000:1. Testy praktyczne pokazują, iż odpowiednią skuteczność można osiągnąć przy współczynniku 100:1.
ƒƒ Cachowanie: Jest funkcją realizowaną
przez load balancer on-the-fly (w locie), w całości wykonywaną w pamięci RAM. Umieszczane są w niej elementy stron WWW (np. obrazki, vi-
deo), do których najczęściej sięgają
klienci. W przypadku, w którym przychodzi zapytanie klienta, w pierwszej
kolejności następuje sprawdzenie,
czy obiekt jest przechowywany w cache’u oraz czy jest aktualny. Po pomyślnej weryfikacji obiekt przesyłany jest do klienta z pominięciem serwerów. Cała komunikacja jest przezroczysta dla użytkownika, a serwery w wyniku cachowania są znacznie
mniej obciążone.
ƒƒ Kompresja danych: Jest funkcją realizowaną przez load balancer (podobnie jak cachowanie) on-the-fly (w locie), w całości wykonywaną w pamięci
RAM lub jak w F5 - w przeznaczonych
do tego specjalnych kartach sprzętowych. Kompresji poddawane są
obiekty ‚łatwokompresowalne’ takie
jak tekst, a algorytm kompresji można określić jako przeglądarka klienta.
Wykorzystywany jest tutaj fakt, że nagłówek HTTP zawiera parametr ‚Content-Encoding’, oznaczający, że przeglądarka jest w stanie zaakceptować
zawartość skompresowaną. Standardowo obsługiwane są dwie metody
kompresji: deflate i gzip. Przeglądarka klienta, po odebraniu treści skompresowanych, dokonuje ich dekompresji. Z praktycznych badań wynika, że Mozilla Firefox lepiej obsługuje
kompresję gzip a Internet Exporer deflate. Kompresja wpływa istotnie na
oszczędność pasma, ponieważ przesyłane są obiekty skompresowanea
nie oryginalnej wielkości.
ƒƒ SSL Offloading: Niewątpliwie SSL Offloading można zaliczyć do mechanizmów akcelerujących, ponieważ load
balancery terminując sesje SSL, odciążając serwery od zasobożernych
operacji kryptograficznych. SSL Offloading zostanie omówiony dalej w
kontekście bezpieczeństwa.
Bezpieczeństwo
Zintegrowane urządzenia balansujące,
oprócz balansowania i akceleracji, mogą
być aktywnymi elementami w infrastrukturze IT, podnoszącymi bezpieczeństwo.
Przy czym bezpieczeństwo należy rozumieć tu dwojako, ponieważ współcze-
© SOLIDEX, 2010
57
sne load balancery pozwalają nie tylko
zabezpieczyć ruch klientów, ale również
samą infrastrukturę IT.
ƒƒ SSL Offloading: W architekturze protokołów internetowych, SSL znajduje się pomiędzy warstwą czwartą
(TCP) a warstwą aplikacji (np. HTTP).
Skoro więc load balancery realizują
L4 balancing oraz application switching, mogą bez większego problemu zająć się obsługą warstw pośrednich. Funkcje deszyfracji SSL można znaleźć w urządzeniach security, np. sondy IPS McAfee z serii Intrushield. Nie jest to jednak SSL Offloading, a jedynie deszyfracja SSL wykonywana na potrzeby przeinspekcjonowania ruchu pierwotnie zaszyfrowanego i skierowanego do serwerów web. Load balancery posiadają
pełną funkcjonalność SSL Offloadingu. Mogą koncentrować sesje szyfrowane od klientów i przesyłać do serwerów czysty ruch HTTP, odciążając
je w ten sposób od realizacji zadań
nie związanych z udostępnianiem zawartości. Poniższy rysunek obrazuje przepływ ruchu, jaki występuje w
trakcie terminiowania sesji SSL przez
dedykowane urządzenia. Zobrazowane jest balansowanie ruchu SSL,
którego terminacją zajmują się dedykowane urządzania - SSL Offloadery.
Należy jednak pamiętać, iż zintegrowane load balancery, same potrafią
terminować sesje SSL.
ƒƒ Ochrona przed atakami DoS (Denial
of Service): Load balancery L4-L7 są
urządzeniami działającymi w architekturze reverse-proxy i z zasady posiadają mechanizmy ochrony przed
atakami DoS i DDoS - połączenia
użytkowników do serwerów są terminowane i w sposób ciągły monitorowane, czy ilość połączeń do danego hosta nie przekracza zdefiniowanych wartości progowych.
ƒƒ Ochrona zawartości: Większość load
balancerów, mimo że jest to domeną
firewalli, IPS i firewalli aplikacyjnych,
posiada mechanizmy chroniące kontent i serwery przed typowymi atakami aplikacyjnymi HTTP, tj. SQL Injection, XSS i zmianą zawartości treści.
Dostępność
Load balancery, podobnie jak pozostałe urządzenia aktywne znajdujące się w
data center, muszą umożliwiać i posiadać mechanizmy wysokiej dostępności, takie jak:
ƒƒ Klastrowanie: Zasadniczo wyróżnia
się dwa rodzaje klastrów: o act/stdby
(typowy tryb fail-over), o act/act (w
trybie tym w dwa urządzenia pracują jednocześnie). Juniper wspiera dodatkowo tryb ActiveN, który zostanie
omówiony dalej.
ƒƒ GSLB (Global Server Load Balancing):
W przypadku load balancerów posiadają one mechanizm geograficznej
redundancji i kierowania ruchem w
zależności od odległości. GSLB umożliwia dynamiczne rozkładanie ruchu
pomiędzy lokalizacjami rozproszonymi geograficznie, poprzez przekierowywanie zapytań do najszybszych lokalizacji z punktu widzenia
poszczególnych klientów. W chwili awarii jednego z oddziałów, jest on
automatycznie usuwany z grupy do
momentu, kiedy znów stanie się dostępny. GSLB polega na manipulowaniu rekordami DNS. Kiedy klient pyta
o nazwę hosta, otrzymuje od serwera DNS odpowiedź zawierającą adresy IP, z którymi może się skontaktować. Następnie próbuje połączyć się
z pierwszym adresem z listy, a gdy
kontakt z nim nie jest możliwy, wybiera kolejny.
Zarządzanie i monitoring
Zarządzanie jest istotnym elementem
każdego systemu znajdującego się w
data cetner. W przypadku load balancerów absolutną podstawą, jaką powinien dostarczać system monitoringu, są szczegółowe statystyki dotyczące każdej transakcji TCP (ze względu na
wykonywaną obowiązkowo translację
adresów NAT) oraz statystyki dotyczące transakcji w warstwach wyższych
(HTTP/HTTPS). Ze względu na spore
różnice odnośnie aplikacji zarządzających, kwestia ta zostanie omówione
poniżej w trakcie prezentacji load balancerów Cisco i Juniper.
Cisco ACE - prezentacja i omówienie
load balancerów Cisco ACE
Cisco w swojej ofercie posiada kilka load
balancerów:
ƒƒ urządzenia wolnostojące: CSS11501,
11503, 11506;
ƒƒ moduł CSM (Cisco Switching Module);
ƒƒ moduł ACE (Application Control Engine);
ƒƒ urządzenie wolnostojące: ACE4710
(nowość!).
Rys. 2 Akceleracja SSL (terminowanie i balansowanie)
Moduł ACE, podobnie jak CSM, jest
modułem usługowym do cat6500 i jest
zintegrowanym load balancerem L4L7. Obecnie dostępna jest wersja 1.0
oprogramowania dla modułu ACE. Pojawienie się wersji 2.0, planowane jest
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
58
20 lat SOLIDEX
na pierwszy kwartał 2007. Wówczas
moduł ACE będzie posiadał wszystkie
funkcje znane z load balancerów CSS/
CSM. Moduł ACE nie posiada dodatkowych licencji włączających poszczególne funkcje programowe. Licencjonowane są jedynie SSL Offloading i wydajność. Moduł ACE dostępny jest w
trzech wersjach wydajnościowych:
ƒƒ 4Gb/s,
ƒƒ 8Gb/s,
ƒƒ 16Gb/s.
Zmiana wersji modułu ACE na bardziej
wydajną nie wiąże się ze zmianami hardwarowymi, a polega wyłącznie na
wgraniu odpowiedniej licencji. Ciekawostką jest fakt, że niezależnie od prędkości jaką daje nam moduł ACE, jest on
w stanie obsłużyć zawsze tą samą maksymalną ilość połączeń, tj. 350.000 na
sec. Oprócz tego domyślnie, w każdej
wersji, moduł ACE udostępnia możliwość SSL Offloadingu na poziomie
1.000 sesji na sec. Aby uzyskać większą
wydajność SSL potrzebne są dodatkowe licencje. Moduł ACE może terminować do 15.000 sesji SSL na sec.
Cat6500 umożliwia instalację do 4 modułów ACE, z których każdy ma podłączenie do backplane na poziomie
16Gb/s.
Moduł ACE nie jest, jak większość load
balancerów, oparty o architekturę x86
(PC), ale ma złożoną architekturę wewnętrzną i większość funkcji realizuje
sprzętowo, co niewątpliwie jest jego cechą wyróżniającą na tle innych load balancerów. Posiada bardzo wydajną matrycę przełączającą - 60Gb/s, dwa procesory sieciowe NP. (Network Processor),
oddzielny moduł zajmujący się akceleracją funkcji kryptograficznych (SSL Offloading) oraz - co najważniejsze - dwa sloty na karty rozszerzeń (Daughter Card).
W obecnej wersji IOS - 1.0, moduł ACE
nie udostępnia funkcji akcelerujących, takich jak kompresja i cachowanie. Wraz z nową wersją oprogramowania planuje się również premierę
karty rozszerzeń (Daughet Card), któ-
rej zadaniem będzie kompresja HTTP.
Wydajność tej karty ma być na poziomie 3Gb/s. Z funkcji typowo akcelerujących balansowanie, moduł ACE udostępnia TCP Offload. W wersji IOS 2.0
pojawi się również próbkowanie za pomocą SNMP.
Mimo, iż cachowanie będzie dostępne
w wersji 2.0, Cisco umożliwia uruchomienie cachowania na module ACE.
Cachowanie można uzyskać poprzez
instalację modułu ACE wraz z urządzeniem wolnostojącym AVS (Application
Velocity System). AVS jest typowym firewallem aplikacyjnym, który prócz cachowania daje możliwość inspekcji FW/
IPS przesyłanej zawartości.
Podstawowym zadaniem wykonywanym przez każdy load balancer, niezależnie od wykonywanego balancingu
(L4 albo L4/L7) jest translacja adresów
(NAT). Moduł ACE to bardzo wydajna
architektura, która jest w stanie (niezależnie od wersji wydajnościowej) realizować NAT z prędkością 1.000.000 sesji
na sec. Istotną rzeczą jest fakt, że moduł
ACE działa na zasadzie firewalla z whitelistami, tzn. ruch nie wskazany jawnie w
konfiguracji jako permit, zostanie zablokowany. Do kontroli przepływu ruchu
używane są access-listy (ACL).
Rzeczą wyróżniającą Cisco na tle innych konkurentów jest wirtualizacja. Wirtualizacja polega na możliwości stworzenia w pełni funkcjonalnych
i odseparowanych, wirtualnych modułów ACE. Jest to możliwe poprzez konfigurację kontekstów, których moduł
ACE może obsłużyć aż 250. Z punktu widzenia zarządzania ważne jest, że
istnieje podstawowy kontekst administracyjny, z poziomu którego tworzone
są inne konteksty i przypisywane są im
zasoby, tj. pamięć, interfejsy, itd. Każdy kontekst posiada własną konfigurację i jako taki jest niezależnym urządzeniem, którego problemy konfiguracyjne czy restart, nie wpływa na urządzenie fizyczne, czyli również na pozostałe
konteksty. Wirtualizacja jest szczególnie przydatna w dużych centrach ho-
stingowych o złożonej topologii, gdzie
na jednym urządzeniu fizycznym można uruchomić wiele load balancerów.
Moduł ACE - dzięki wirtualizacji - posiada jeszcze inną, ciekawą funkcję. Umożliwia bowiem uruchomienie na jednym
urządzeniu fizycznym kilku load balancerów, pracujących w różnych trybach
konfiguracyjnych, tj.:
ƒ ƒ w trybie bridge’owanym (bridged
mode);
ƒƒ w trybie routowalnym (routed mode);
ƒƒ w trybie one-arm.
Dzięki takiemu podejściu można tworzyć
naprawdę skomplikowane i niebanalne
konfiguracje, dostosowane do topologii
i potrzeb data center, bez konieczności
inwestowania w dodatkowe urządzenia.
W ramach kontekstu wirtualnego można
również tworzyć domeny.
Cisco ACE umożliwia konfigurację trybów redundancji: act/act i act/stbdby.
Słowo komentarza należy się jednak w
przypadku trybu act/act, ponieważ Cisco realizuje ten tryb dostępności nieco inaczej niż konkurencja. Tryb act/
act można skonfigurować tylko w trybie wielokontekstowym i polega on na
tym, że część kontekstów uruchamiana
jest na jednym urządzeniu ACE a pozostała część na drugim.
W zakresie bezpieczeństwa moduł ACE,
prócz wspomnianego SSL Offloadingu, oferuje śledzenie zawartości treści i normalizacji zapytań. Do mechanizmów normalizujących (wygładzających, poprawiających) zaliczyć można:
ƒƒ TCP/IP Normalization, które jest oczywiście realizowane sprzętowo,
ƒƒ HTTP Inspection (URL Normalization).
Inspekcji poddawane są dodatkowo FTP, Strict FTP, RSTP, ICMP, DNS,
HTTPS. Inspekcja wykonywana jest
przez procesory sieciowe (NP.).
Moduł ACE, jeżeli chodzi o funkcje bezpieczeństwa, jest bardzo podobny do
innego modułu usługowego cat6500,
będącego typowym firewallem - modułu FWSM. Cisco ACE, w zakresie funk-
© SOLIDEX, 2010
59
cjonalności firewall, umożliwia konfigurację acces-list, statefull firewall, deep
packet inspection, (HTTP), a także posiada szereg rozszerzeń dotyczących
inspekcji, np. FTP, TCP.
Zarządzenie jest bardzo mocną stroną load balancera ACE. Niewątpliwie
wpływ na to ma zaimplementowany
mechanizm RBAC (Role Based Access
Control), za pomocą którego można
tworzyć, modyfikować, monitorować i
debugować rolami administracyjnymi.
RBAC umożliwia tworzenie różnych ról
(administratorów) poprzez uprawnienie konkretnej roli do określonych komend administracyjnych. W ten sposób możemy tworzyć administratorów
odpowiedzialnych za load balansowanie serwerów lub tylko ich monitorowanie. Dodatkowo role administracyjne można dowolnie przypisywać do
kontekstów, dzięki czemu konkretny
administrator, z pełnymi prawami do
jednego kontekstu, nie będzie miał dostępu do pozostałych kontekstów. Listy
RBAC można przypisywać również do
domen tworząc w ten sposób wirtualnych administratorów, którzy mogą zarządzać wieloma kontekstami w ograniczonym obszarze. Cisco proponuje
nam dwa zasadnicze interfejsy, z poziomu których możemy zarządzać modułem ACE:
ƒƒ MPC (Modular Policy CLI): MPC to interfejs konfiguracyjny bazujący na
C3PL (Cisco Common Class-based
Policy Language). Jest niezwykle
przejrzysty, klarowny oraz bardzo intuicyjny. Jest on ukierunkowany i posiada szereg udogodnień, jeżeli chodzi o konfigurację class-map, policy-map, za pomocą których tworzymy reguły i polityki balansowania.
Osoby zaprzyjaźnione z CLI Cisco, nie
będą miały z jego obsługą większych
problemów.
ƒƒ NM (Application Network Manager):
Jest graficzną aplikacją, służącą do
zarządzania modułem ACE. Standardowo jest ona płatna, natomiast
przy zamówieniu dwóch modułów
ACE jest ona dołączana gratisowo.
W chwili obecnej dostępna jest wer-
sja 1.1 tego oprogramowania i wspiera ona tylko Linux RedHat Enterprise. W wersji 1.2, której premiera planowana jest na przyszły rok, ANM1.2
będzie obsługiwał wszystkie load balancery Cisco, tj. CSS, CSM, ACE1.0,
ACE4710. Obsługiwany również będzie ACE z IOS w wersji 2.0.
Rzeczą wyróżniającą Cisco pod względem zarządzania jest możliwość konfigurowania tzw. checkpoint’ów. Checkpointy konfiguruje się w trakcie typowej pracy administracyjnej, podczas
konfiguracji pozostałych funkcjonalności modułu ACE. Umożliwiają one
bezpieczne cofnięcie się (rollback) do
ostatnio działającej konfiguracji. Można
skonfigurować do 10 checkpointów na
kontekst i -co najważniejsze- rollback
do ostatnio działającej konfiguracji, nie
wymaga restartu urządzenia.
Na przełomie listopada/grudnia 2007
Cisco wprowadza do swojej oferty
nowy load balancer - ACE4710. W odróżnieniu od modułu usługowego ACE,
ACE4710 jest to urządzeniem wolnostojącym, nie mniej architekturalnie
wywodzącym się z modułu ACE. Cisco
ACE4710 dostępny będzie w dwóch
wersjach wydajnościowych:
ƒƒ 1Gb/s,
ƒƒ 2Gb/s.
derów na rynku „Application Delivery”, która w wyniku akwizycji w kwietniu 2005 została przejęta przez Juniper
Networks. Oba typy load balancerów z
serii DX posiadają te same oprogramowanie DX OS, obecnie dostępne w wersji 5.1. Nie różnią się one funkcjonalnie,
a jedynie wydajnościowo. Oba posiadają tę samą architekturę wewnętrzną,
opartą są o x86 (PC) z dedykowanymi
procesorami sieciowymi.
Load balancery firmy Juniper są bogate w funkcje, jednak w przeciwieństwie
do urządzeń Cisco dodatkowe funkcjonalności są licencjonowane. Pomijając
jednak na chwilę kwestię licencjonowania, urządzenia z serii DX wykonują
pełen load balancing L4 i L4/L7. W zakresie balansowania Juniper umożliwia
wykorzystanie swojego własnego algorytmu balansowania Fewest Outstanding Request, który został omówiony na
początku artykułu. Posiadają dodatkowo mechanizmy akceleracji, takie jak
TCP Offload, Cache i Kompresja.
Urządzenie to jest w pełni zintegrowanym load balncerem udostępniającym:
ƒƒ load balancing L4 i L4/L7,
ƒƒ funkcje akcelerujące takie jak: cachowanie i kompresja,
ƒƒ funkcje bezpieczeństwa (SSL Offloading, DoS protection, TCP/IP/HTTP
Normalization, etc.).
Load balancery firmy Juniper realizują caching trzeciej generacji (3GCaching). Przy
pomocy reguł AppRules w dowolny sposób można określać, które obiekty mają
znaleźć się w cachu oraz na jak długo. W
przypadku kompresji istnieje możliwość
modyfikacji skompresowanych, również
z wykorzystaniem reguł AppRules Page
Translator Content (PTC), na poziomie nagłówków lub treści. Za ich pomocą można określić, które obiekty mają zostać
poddane kompresji, w zależności np. od
typu MIME. Należy jednak pamiętać, iż
wykorzystanie reguły AppRules obwarowane jest koniecznością wykupienia licencji OverDrive.
Juniper DX - prezentacja
i omówienie load balancerów
Juniper z serii DX
Firma Juniper posiada w swojej ofercie zasadniczo dwa zintegrowane load
balancery. Są to urządzenia wolnostojące z serii DX, opatrzone numerami DX3200 i DX3600. Produkty te były
znane wcześniej jako linia E/X oraz T/X
firmy Redline Networks, jednego z li-
W ramach bezpieczeństwa load balancery z serii DX oferuje pełen SSL Offloading, w którym również istnieje możliwość zastosowania reguł AppRules
do analizy lub modyfikacji przetwarzanych danych. Urządzenie DX może pracować również jako SSL forwarder, pełniąc rolę koncentratora dla sesji SSL,
po czym może ponownie zaszyfrować ruch i przesłać do serwerów - jest
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
60
20 lat SOLIDEX
to tzw. SSL end-to-end. W celu uwierzytelnienia klientów i serwerów urządzenia te mogą wykorzystać certyfikaty wystawione przez Trusted Root CA
lub certyfikaty wystawione przez samego właściciela serwerów (tzw. self-signed). Należy zaznaczyć, iż SSL Offloading i inne funkcje kryptograficzne
realizowane są na urządzeniach 3200
i 3600 softwarowo, natomiast urządzenia 3280 i 3680 posiadają hardwarowe wsparcie SSL. Możliwe jest również uwierzytelnianie zgodnie z modelem AAA (Authorization, Authentication, Accouting) z wykorzystaniem serwerów RADIUS, LDAP oraz RSA SecurID.
Urządzenia z serii DX wspierają wszystkie najpopularniejsze algorytmy szyfrowania i uwierzytelniania DES, 3DES,
AES, RC2, RC4, IDEA, MD5, SHA1.
Jeśli chodzi o dostępność to Juniper
oferuje nam na swoich load balancerach szeroką gamę funkcjonalności. Dostępne jest pełne klastrowanie act/stdby oraz act/act. Dodatkowo, aby zwiększyć wydajność klastra urządzenia DX,
Juniper oferuję możliwość klastra ActiveN. Funkcjonalność ta daje możliwość
jednoczesnej pracy do 64 urządzeń DX,
które mogą być widziane nawet jako jeden adres VIP, bez konieczności użycia
zewnętrznego load balancera do podejmowania decyzji, o tym jakie urządzenie
powinno zająć się konkretną transakcją.
W trybie tym jeden load balancer pracuje jako tzw. master, dystrybuując ruch
do pozostałych członków klastra oraz
sprawdzając ich dostępność. Elekcja kolejnego mastera w momencie awarii poprzedniego następuje bez przerw w ruchu. Dodawanie kolejnych urządzeń do
klastra nie wymaga zmian ani w strukturze datacenter, ani w konfiguracji pozostałych urządzeń sieciowych, co jest konieczne w przypadku tradycyjnych konfiguracji active-standby i active-active.
Load balancery firmy Juniper wspierają
również mechanizm dostępności i kierowania ruchem GSLB, omówiony wcześniej. Poniżej zostały przedstawione parametry wydajnościowe platformy DX:
Chassis
DX 3200
DX 3280
1U, Single
power supply
2 NIC Gig
1U, Single
power supply
2 NIC Gig
DX 3600
DX 3680
2U, reudant
power
supplies
4 NIC Gig
2U, reudant
power
supplies
4 NIC Gig
SLB
SLB (non-web)-VIPs / Server-per-VIP
512/32
512/32
1024/64
1024/64
Max L4 Connections/second
20,000
20,000
40,000
40,000
Max Concurrent Connections
500.000
500,000
1.1 M
1.1 M
Max throughput
500 Mbps
500 Mbps
1.3 Gbps
1.3 Gbps
90,000
90,000
120,000
120,000
GSLB
DNS requests/sec
Tab. 1 Wydajność SLB i GSLB
DX 3200*
DX 3280*
DX 3600*
DX 3680*
Cluster - HTTP With L7 services (compression/
TCP-multiplexing)
Cluster (web)-VIPs/Servers-per-VIP
128/32
128/32
256/64
256/64
L7 tarnsactions/second
12,000
12,000
26,000
26,000
TCP multiplexing radio
1:1000
1:1000
1:1000
1:1000
Concurrent Connections
100,000
100,000
1 Million
1 Million
Max compression
1 Gbps
1 Gbps
2 Gbps
2 Gbps
Max throughput
1 Gbps
1 Gbps
2 Gbps
2 Gbps
DX 3200*
DX 3280*
DX 3600*
DX 3680*
SSL
SSL concurrent connections
20,000
20,000
120,000
160,000
New SSL sessions/sec
500
5,000
900
7,300
Max SSL Bulk
600 Mbps
900 Mbps
700 Mbps
1.1 Gbps
Tab. 2 Wydajność balansowania L4-L7 i SSL Offloadingu
Biorąc pod uwagę zarządzanie i system
monitoringu, na load balancerach z serii DX zbierane są najistotniejsze statystyki dotyczące ich pracy i serwerów: obciążenie pamięci i procesora, zajętość łączy,
status VIP-a i poszczególnych serwerów
- członków farm serwerów, ilość bajtów
danych przesłanych do klientów, liczba
zaakceptowanych i odrzuconych połączeń, obsłużone zapytania, a także liczbę
zaoszczędzonych danych. Dostępne jest
również dedykowane środowisko programistyczne OverDrive, którego interfejs API- przy pomocy intuicyjnego zestawu reguł „if-then”- umożliwia zmianę
kodu HTML. Zbiór tych reguł nosi nazwę
Application Rules, a ich wykorzystanie
zostało pokrótce omówione powyżej. Licencjonowanie, wspominane wcześniej,
jest dość rozbudowane w Juniperze. Dostępne są następujące licencje:
ƒƒ DX Base (Layer4 SLB), w ramach któ-
rego uzyskujemy dostęp do funkcjonalności: terminowanie SSL,
ochrona przed DoS, NAT, Failover,
Radius, LDAP, próbkowanie podstawowe;
ƒƒ AFE (Layer7 SLB), w ramach którego
uzyskujemy dostęp do funkcjonalności: akceleracja, kompresja, scrubbing, HTML rewriting, monitorowanie SLA, ActiveN, próbkowanie zaawansowane (FOR);
ƒƒ AFE Advanced: 3G, w ramach którego uzyskujemy dostęp do funkcjonalności: caching, OverDrive, AutoSSL, Transaction, Assurance.
Dodatkowo w przypadku licencji AFE
i AFE Advanced 3G istnieje możliwość
wykupienia licencji uruchamiających
funkcjonalność GSLB.
© SOLIDEX, 2010
61
F5 BIG-IP - prezentacja i omówienie
load balancerów F5 Networks
Pisząc o load balancerach, nie sposób pominąć rozwiązań oferowanych przez firmę F5 Networks z rodziny BIG-IP, które
cechują się nie tylko bogatą funkcjonalnością, ale również wysoką wydajnością.
ƒ zaawansowany routing,
ƒ moduł zaawansowanego uwierzytel-
W ofercie F5 dostępnych jest sześć modeli urządzeń BIG-IP, od BIG-IP 1500 do
BIG-IP 8400, różniących się między sobą
przede wszystkim wydajnością, ale również ilością interfejsów sieciowych, możliwością instalacji dodatkowych kart
funkcjonalnych czy ilością możliwych
do uruchomienia programowych modułów funkcjonalnych. Poniżej przedstawione jest zróżnicowanie- z uwagi na
wydajność modeli BIG-IP.
Wartym uwagi, z punktu funkcjonalności, elementem architektury BIG-IP jest interfejs programowy iRules. Pozwala on na
tworzenie własnych skryptów pisanych w
języku TCL, które mogą wykonywać przeróżne działania na danych, analizowanych
przez load-balancer. Sztandarowym przykładem takiego działania jest balansowanie połączeń HTTP, przychodzących
od klientów do serwerów końcowych na
podstawie określonego URL-a. Możliwe są
nienia klientów,
ƒ moduł obsługujący IPv6,
ƒ moduł kształtujący ruch (L7 Rate Shaping Module),
ƒ firewall aplikacyjny.
BIG-IP 1500 BIG-IP 3400 BIG-IP 6400 BIG-IP 6800 BIG-IP 8400
Layer 4 Connections/sec
30,000
110,000
220,000
220,000
270,000
Layer 7 Requests/sec
40,000
100,000
130,000
190,000
210,000
Layer 7 Connections/sec
22,000
55,000
70,000
100,000
110,000
Max. throughput
500 Mbps
1 Gbps
2 Gbps
4 Gbps
10 Gbps
Max. conc. conn.
4 Million
4 Million
8 Million
8 Million
8 Million
Max SSL TPS
2,000
5,000
15,000
20,000
22,000
Max SSL Bulk
500 Mbps
1 Gbps
2 Gbps
2 Gbps
2.2 Gbps
Max SSL conc. conn
100,000
200,000
500,000
500,000
500,000
Max compression
100 Mbps
500 Mbps
2 Gbps
2 Gbps
2 Gbps
Switch backplane
14 Gbps
22 Gbps
44 Gbps
48 Gbps
80 Gbps
Tab. 3 Porownywanie wydajności urządzeń F5 BIG-IP
Pod względem funkcjonalności rozwiązania F5 również należą do światowej czołówki. Wszystkie opisywane w
pierwszej części artykułu funkcjonalności są dostępne na platformie BIG
-IP. Podstawą rozwiązania jest specjalnie opracowana architektura sprzętowa oraz dedykowany system operacyjny TMOS z zaimplementowanym, własnym, optymalizowanym stosem TCP
-IP, pełnym proxy aplikacyjnym czy wirtualną segmentacją sieciową. Otwarta
architektura TMOS pozwala na implementację na jednej platformie wielu
ciekawych funkcjonalności, takich jak:
ƒ load balancing,
ƒ connection pooling
ƒ inteligentna kompresja (realizowana
sprzętowo),
ƒ caching (Fast Cache Module),
ƒ akceleracja SSL (realizowana sprzętowo),
również inne operacje ograniczone w zasadzie jedynie wyobraźnią i wydajnością
poszczególnych platform.
Bezpieczeństwo
Ciekawą funkcjonalnością oferowaną
przez F5 jest możliwość instalacji kart terminujących SSL, posiadających certyfikację FIPS 140-2 (Federal Information Processing Standard) - standardu publicznego stworzonego przez rząd federalny
Stanów Zjednoczonych. Karty FIPS mogą
być montowane w urządzeniach BIG-IP,
od modelu BIG-IP 6400 i wyższych. Realizują one funkcję sprzętowego modułu kryptograficznego HSM (Hardware Security Module), wspomagając proces szyfrowania ruchu SSL oraz zapewniając odpowiedni, zdefiniowany w standardzie
FIPS 140-2 poziom bezpieczeństwa przechowywania kluczy oraz certyfikatów.
Karta FIPS SSL, jako bezpieczne repozytorium kluczy prywatnych, bierze udział
na przykład w negocjacji kluczy symetrycznych, przekazując funkcje szyfrowania sprzętowym kartom SSL, dostępnym
w każdym z modeli BIG-IP w standardzie.
Inną funkcją, istotną punktu bezpieczeństwa, jaką może posiadać również load balancer BIG-IP to firewall aplikacyjny. Firma
F5 oferuje moduł programowy Application
Security Manager, który może zostać zainstalowany jako dodatkowy element systemu równoważenia ruchu, dostępny także
jako osobne rozwiązanie wolnostojące.
W przeciwieństwie do tradycyjnych systemów ochrony aplikacji, takich jak systemy
wykrywania i blokowania włamań, moduł
ASM wykorzystuje tzw. pozytywny model
bezpieczeństwa, aby osłaniać chronione
aplikacje. Pozytywny model oznacza sytuację, w której definiowane jest poprawne
zachowanie chronionej aplikacji, a wszelkie próby wyjścia poza to poprawne zachowanie jest blokowane. Aby zdefiniować poprawne zachowanie, trzeba mieć
świadomość całej aplikacji - firewall aplikacyjny musi się jej nauczyć. Istnieje wiele sposobów na poznanie aplikacji,od wykorzystania automatycznych silników analizowania aplikacji wekowych np. crowler,
po ręczne definicje. Wygodnym jest również tryb nauki, podczas którego firewall
aplikacyjny przygląda się zachowaniu aplikacji w trakcie użytkowania jej przez końcowych użytkowników. Następnie koniecznym jest zdefiniowanie poprawnych zachowań - na przykład określenie jakie znaki
mogą być używane w konkretnych polach
lub też zdefiniowanie kolejności przepływu informacji przez poszczególne formatki. Przełączenie firewalla w tryb blokowania spowoduje, że tylko poprawne zapytania pochodzące od klientów aplikacji będą
akceptowane a wszystkie inne będą blokowane. Co ważne, kontrola następuje dwukierunkowo, dlatego można również zdefiniować poprawne odpowiedzi, jakie mogą
być przesyłane z serwera aplikacyjnego do
klientów. Dzięki temu ASM ma możliwość
zablokowania przesyłania na przykład poufnych informacji, takich jak numery kont,
numery kart płatniczych itd.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
62
20 lat SOLIDEX
Cisco NAC Appliance i jego możliwości
Artykuł z Nr 9-10/2008 (100)
NAC Appliance - czyli pełna kontrola dostępu do zasobów sieciowych oraz ochrona przed zagrożeniami
pochodzącymi z wnętrza infrastruktury. Według wszelkich prawideł projektowych Kompletny System
Bezpieczeństwa dotyczy nie tylko aspektów zabezpieczeń przed atakami z zewnątrz ale i z wewnątrz sieci.
Wielowarstwowe modele projektowania infrastruktury bezpieczeństwa sieciowego nakazują aby polityki
bezpieczeństwa były egzekwowane już na stacjach końcowych (PC, PDA, GSM). W takim przypadku
skutecznym uzupełnieniem standardowych mechanizmów zabezpieczeń - jest system pełnej kontroli dostępu
do infrastruktury sieciowej, w zależności od poziomu bezpieczeństwa stacji końcowych.
Wstęp do technologii Network
Admission Control
Technologia NAC polega na wykorzystaniu zasobów sieciowych do inteligentnego narzucenia praw dostępu
w zależności od poziomu bezpieczeństwa urządzenia końcowego. Technologia NAC klasyfikowana jest przez Cisco Systems jako integralna część system SDN (Self - Defending - Network). Z
biegiem czasu SDN ewaluował do systemu który charakteryzował się:
ƒ Integracją mechanizmów bezpieczeństwa:
‚ routery, przełączniki, aplikacje oraz
stacje końcowe,
‚ bezpieczna łączność, ochrona
przed zagrożeniami, aspekty zaufania oraz identyfikacji sieciowej,
ƒ Pełną współpracą zintegrowanych
mechanizmów bezpieczeństwa:
‚ stacje końcowe + infrastruktura
sieciowa + aplikacje,
‚ NAC, usługi bazujące na indetyfikacji sieciowej,
ƒ Adaptacja bezpieczeństwa przed zagrożeniami:
‚ konsolidacja usług powodujący
wzrost efektywności wykonywanych operacji,
‚ wzrost efektywności mechanizmów bezpieczeństwa.
Firma Cisco Systems klasyfikuje technologie NAC jako część rozwiązania
SDN która odpowiada za mechanizm
zarządzania identyfikacją oraz zaufania w infrastrukturze sieciowej. System odpowiadający za mechanizmy
zarządzania identyfikacją oraz zaufaniem składa się z 3 technologii:
ƒ Zarządzanie tożsamością (rozwiązanie
bazujące na wykorzystaniu CSACS):
‚ gwarantowany mechanizm identyfikacji i pełna integracja urządzeń
w sieci,
‚ udostępnione usługi AAA,
‚ możliwość bezpiecznego zarządzania zdalnymi urządzeniami,
ƒ Usługi oparte o tożsamość sieciową (
rozwiązanie bazujące na wykorzystaniu CSACS oraz 802.1x ):
‚ kreowanie „zaufanych” domen sieciowych,
‚ wymuszanie polityk bezpieczeństwa przy pomocy Cisco Trust
Agenta,
‚ kontrolowanie ruchu w sieci (nakładanie restrykcji, kwarantanny,
przekierowywanie)
‚ rozszerzona funkcjonalność dzięki Agentowi Cisco Security, mechanizmom Anti-X oraz rozwiązań firm
trzecich.
NAC w wykonaniu CISCO SYSTEM
Cisco grupuje produkty, wykorzystujące technologie NAC względem rodzaju
zagrożeń bezpieczeństwa (tabela nr 1).
Nieznane zagrożenia
Znane zagrożenia
Cisco NAC – Architektura działania
Cisco Trust Agent
Cisco Trust Posture Agent
Cisco Security Agent
Cisco NAC Appliance
- Agent Aplikacyjny
- Agent Aplikacyjny
- Zaimplementowana ocena
- Agencja listy
podatności uwzględniając
uwierzytelniającej z Cisco
sprawdzone pliki, rejestry,
Security Agent (plug In)
usługi, aplikacje
oraz z aplikacji AV (różnych
- Komunikacja z Cisco CAM
producentów)
(Clean Access Manager) oraz
- Komunikacja z urządzeniami
CAS (Clean Access)
sieciowymi (routery
przełączniki posiadające
funkcjonalność NAC)
Tab. 1 Różnice pomiędzy produktami NAC Cisco
‚ rozszerzony dostęp do zasobów
sieciowych LAN,
‚ kreowanie i przypisywanie automatyczne VLANów w zależności od
polityk bezpieczeństwa,
‚ wsparcie dla przewodowych oraz
bezprzewodowych sieci,
ƒ NAC ( rozwiązanie bazujące na wykorzystaniu technologii NAC Framework, NAC Appliance):
Cisco Security Agent jest dedykowanym systemem zabezpieczeń dla serwerów, stacji roboczych czy systemów
operacyjnych. System oparty jest na
działaniu algorytmów, analizujących
anomalie w sieci (skuteczniejszy niż
system porównywania sygnatur). Rozwiązanie to konsoliduje w sobie jednego agenta do zabezpieczenia stacji końcowej wraz z funkcjonalnościa-
© SOLIDEX, 2010
63
mi (Host Intrusion Prevention, Spyware, Adware Protection, Distributed Firewall Capabilities, Audit Log Consolidation).
Rozwiązania działające w oparciu
o architekturę NAC dotyczą dwóch
produktów/technik.
Pierwsze rozwiązanie bazuje na wykorzystaniu funkcjonalności Cisco Trust
Agenta (Endpoint Security), urządzeń
typu NAD (Network Access Devices)
oraz serwerów AAA. Cisco Trust Agent
jest aplikacją instalowaną na stacjach
końcowych. Do najważniejszych zadań
agenta należy umożliwianie dostępu do
zasobów w sieci w zależności od spełnienia pewnego poziomu bezpieczeństwa samej stacji roboczej (stanu stacji roboczej - posture). W tym celu Cisco Trust Agent, za pomocą odpowiednich pluginów (może być aplikacja innego vendora), sprawdza odpowiednie
biblioteki dll. Komunikacja (dostarczenie „dokumentacji” oraz odbiór wyników ich sprawdzenia) pomiędzy „urządzeniami dostępowymi” a agentem odbywa się przy pomocy specjalnie „wystawionego” interfejsu (API). Uzupełnieniem tego rozwiązania są urządzenia NAD czyli urządzenia takie, jak: przełączniki, routery, punkty dostępowe
(system autonomiczny), koncentratory VPN, aparaty IP. Powyższy produkt/
technika NAC nosi nazwę Framework.
Podsumowując rozwiązanie typu Framework skoncentrowane jest na urządzeniu końcowym, a do uwierzytelniania potrzebny jest suplikant 802.1x lub
EAPoverUDP. Urządzenia NAD służą do
wykonywania decyzji serwera AAA.
Wyróżniamy trzy modele wdrożenia
tego rozwiązania:
ƒƒ L2 802.1x (autoryzacja na przełączniku lub punkcie dostępowym),
ƒƒ L3 IP (autoryzacja na routerze lub innym urządzeniu L3),
ƒƒ L2 IP (autoryzacja na przełączniku).
Drugie rozwiązanie bazuje na technologii typu NAC Appliance. Technologia
NAC Appliance opiera się na działaniu
mechanizmów automatycznej detekcji,
izolowania oraz „czyszczenia” zainfeko-
wanych urządzeń końcowych próbujących uzyskać dostęp do zasobów sieciowych. Dodatkowo system ten uzupełnia Cisco Security Agent - zainstalowany na stacji roboczej. System NAC
Appliance, bazujący na agencie, umożliwia skanowanie i sprawdzanie systemów plików, rejestrów oraz aplikacji.
Do mocnych atutów tego rozwiązania
można zaliczyć:
ƒƒ minimalizację przerw pracy systemów sieciowych,
ƒƒ wymuszanie odpowiednich polityk
bezpieczeństwa,
ƒƒ zautomatyzowane mechanizmy „naprawy” oraz aktualizacji stacji roboczych.
Cisco NAC Appliance
Cisco NAC Appliance, będące częścią
koncepcji Cisco Self-Defending Network, ma za zadanie wykorzystać infrastrukturę sieciową (znacznie mniej
zaangażowanych urządzeń niż w przypadku NAC Framework) do celów identyfikacji, zapobiegania zagrożeń oraz
przystosowywania infrastruktury IT na
zwalczanie ich nowych odmiany. Działanie rozwiązania typu NAC Appliance
można sprowadzić do 4 procesów:
ƒƒ rozpoznania - rozpoznanie użytkowników, ich stacji roboczych oraz ich
profili w sieci,
ƒƒ oceny - oceny w jakim stopniu polityka bezpieczeństwa na stacji końcowej odpowiada ogólnym politykom
bezpieczeństwa,
ƒƒ egzekwowanie - egzekwowanie polityk bezpieczeństwa poprzez blokowanie, izolowanie oraz „naprawy niekompatybilnych” maszyn,
ƒƒ aktualizowanie - mechanizmy umożliwiające przeprowadzanie procesu aktualizacji maszyn „niekompatybilnych”.
System NAC Appliance składa się z następujących elementów:
1. Cisco NAC Appliance (dawniej Clean Access Server)
Urządzenie („serwer”) wymuszające proces oceniania stanu stacji oraz egzekwowania poziomu dostępu, w zależności
od wyniku jej weryfikacji pod względem
podatności. CAS jest oprogramowaniem opartym o system Linux (zoptymalizowany Fedora Core w NAC Appliance wersji 4.1) i instalowanym na platformach sprzętowych (Cisco, HP, Dell).
Na dzień dzisiejszy Cisco udostępnia
ten system na urządzeniach dedykowanych „appliance” (wersja 4.5).
CAS stanowi swoistą bramę pomiędzy
siecią untrusted (zarządzana) a siecią trusted. Użytkownik próbujący dostać się
do infrastruktury sieciowej, jest blokowany na poziomie portu (brak możliwości
komunikacji z siecią trusted, możliwość
tylko ruchu DHCP i DNS) do momentu
pozytywnego przejścia, np.: procesu walidacji stacji roboczej użytkownika. Urządzenie skalowane jest do pięciu rozmiarów (ilość jednoczesnych prób „wejścia”
do sieci) - 100, 250, 500, 1500, 2500 oraz
3500. CAS może pracować w jednym z
trzech trybów: Virtual Gateway (bridge),
Real-IP Gateway (router), Real-IP z funkcją
NAT (router + translacja).
Virtual Gateway (bridge)
ƒƒ CAS operuje na ramkach jako bridge.
ƒƒ Na interfejsach mogą być te same
VLANy lub różne (mapowanie VLANów).
ƒƒ Interfejsy CASa mogą być trunkami.
ƒƒ Interfejsy sieci zaufanej oraz nie zaufanej posiadają ten sam adres IP (do
zarządzania i kontaktu z CAM).
ƒƒ Brama domyślna ustawiona jest na
interfejsie urządzenia L3 w sieci zaufanej.
ƒƒ Stacje końcowe identyfikowane są
po MAC adresie.
Real - IP/NAT (router)
ƒƒ CAS jako router (default gateway dla
sprawdzanej sieci).
ƒƒ CAS operuje na statycznym routingu
(nie rozgłasza tras).
ƒƒ Tryb NAT realizowany jest dla połączeń
wychodzących (zalecane do testów).
ƒƒ Interfejs „sieci nie zaufanej” może obsługiwać wiele VLANów (trunk).
ƒƒ CAS może pracować jako DHCP Relay
lub DHCP Server.
Kluczowe właściwości systemu NAC
Appliance (wersja 4.1):
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
64
20 lat SOLIDEX
ƒ Integracja procesu autentykacji z usługą „single sign-on”
ƒ NAC Appliance świadczy usługi proxy większości metod uwierzytelniania (RADIUS, LDAP, Kerberos, Active
Directory, S/Ident). Dla zoptymalizowania procesu autoryzacji NAC Appliance wspiera również usługę „single sign-on” dla klientów VPN oraz
klientów „bezprzewodowych”.
Ocena podatności
Cisco NAC Appliance wspiera proces
skanowania systemów Microsoft Windows, Mac OS oraz wielu dystrybucji
Linuxowych na stacjach roboczych.
Dodatkowo procesem skanowania
poddawane są również urządzenia
takie, jak: PDA, drukarki oraz telefony IP. Ocenie podatności poddawane
są również aplikacje, klucze rejestrów
systemowych oraz system plików.
Kwarantanna urządzeń
niekompatybilnych
Urządzenia „niekompatybilne” z ogólną polityką bezpieczeństwa w firmie
mogą być umieszczane w strefie kwarantanny (zazwyczaj wydzielona podsieć z maską 30 bitową) lub specjalnie
wydzielony VLAN.
Automatyczny proces aktualizacji
polityk bezpieczeństwa
Możliwość automatycznego pobierania aktualizacji predefiniowanych polityk bezpieczeństwa dla najczęściej
używanych kryteriów dostępu do zasobów sieciowych takich jak:
ƒ poprawki do systemów operacyjnych,
ƒ aktualizowane bazy wirusów dla aplikacji AV,
ƒ aktualizowanie systemów antyspyware.
Centralne zarządzanie
Rozbudowana webowa konsola zarządzająca dla jednego lub wielu serwerów CAS.
Elastyczne modele wdrożeń
Szeroki wachlarz modeli wdrożeń. Nie
trzeba dostosowywać sieci do NAC Appliance - to NAC Appliance dostosuje
się do istniejącej sieci.
2. Cisco Clean Access Manager (CAM)
Clean Access Manager jest centralnym systemem zarządzania technologii NAC Appliance. CAM potrafi zarządzać pojedynczym lub wieloma urządzeniami CAS (tabela nr 2). CAM ma
za zadanie centralnie zarządzać politykami bezpieczeństwa oraz ich wymogami. Z poziomu konsoli zarządzania
CAM użytkownik jest w stanie skonfigurować następujące parametry:
ƒ Cheks: pojedyncze sprawdzenie (wyrażenie logiczne) elementu systemu
operacyjnego klienta. Sprawdzenie
klucza rejestru, plików, usług, aplikacji.
ƒ Rule: reguły (RULES) to wyrażenie logiczne złożone ze sprawdzeń
(Checks) i operatorów logicznych [
(,),I,&,! ], służą do określenia luki.
ƒ Requirements: wymagania (requirements) to powiązanie reguł z metodami naprawy wykrytych słabości.
Metody te obejmują np.: dostarczenie pliku, dostarczenie odnośnika do
strony WWW.
ƒ Role: role są zbiorami wymagań, przypisuje się do grup użytkowników.
Powyższe parametry, a także zainstalowany agent Cisco CCA na stacji roboczej, umożliwiają systemowi NAC Appliance przeprowadzić i zweryfikować
jej stan (posture).
Cisco NAC
Appliance 3310
Cisco Clean Access Manager dostępny
jest w trzech opcjach (w zależności od
ilości obsługiwanych CASów):
ƒ Cisco Clean Access Lite Manager zarządza do 3 CASów,
ƒ Cisco Clean Access Standard Manager zarządza do 20 CASów,
ƒ Cisco Clean Access Super Manager
zarządza do 40 CASów.
3. Cisco Clean Access Agent (CCA)
Cisco Clean Access Agent jest to darmowa aplikacja typu agent. Instalowana jest na stacjach roboczych i umożliwia pobranie danych uwierzytelniających od użytkownika. Dodatkowo
przeprowadza proces skanowania rejestrów stacji roboczych i wspomaga
CAS przy procesie identyfikowania stacji (sprawdza IP oraz MAC adresy). Istotną informacją jest fakt, iż aplikacja ta
stanowi opcjonalne uzupełnienie systemu NAC Appliance.
Ostatnim i opcjonalnym elementem systemu są reguły i aktualizacje, umożliwiające automatyczne wymuszanie aktualizacji dla aplikacji AV,
poprawek systemowych oraz innych
programów. Uaktualnienia są dystrybuowane w formacie XML z zaznaczeniem wersji pliku.
Cisco NAC
Appliance 3350
Cisco NAC
Appliance 3390
NAC Network
Module
Integrated
Services
Routers
Produkt
- Clean Access
Server (licencje
- Clean Access
na 1500,
Server (licencje
2500, 3500
na 100, 250, 500
użytkowników)
użytkowników)
- Clean Access Lite - Clean Access
Standard
Manager
Manager
- Clean Access
Super Manager
- NAC Network
Moduł (licencje
na 50, 100
użytkowników)
Procesor
Dual-core Intel
Xeon 2.33 GHz
Dual-core Intel
Xeon 3.0 GHz
2 x Dual-core Intel
Xeon 3.0 GHz
1 GHz Celeron M
Pamięć RAM
1 GB PC2 4200
(2 x 512 MB)
2 GB PC2 5300
(2 x 1 GB)
4 GB PC2 5300
(4 x 1 GB)
512 GB PC2 5300
(2 x 1 GB)
HDD
80 GB NPH
SATA drive
2 x 72 GB SFF
SAS RAID drives
4 x 72 GB SFF
SAS RAID drives
80 GB Serial
ATA (SATA) drive
NICs
- 2 x Integrated
Broadcom
10/100/1000
5703 NICs
- 2 x Intel e 1000
Gigabit NICs
(PCI X)
- 2 x Integrated
Broadcom
10/100/1000
5721 NICs
- 2 x Intel e 1000
Gigabit NICs
(PCI X)
- 2 x Integrated
Broadcom
10/100/1000
5721 NICs
- 2 x Intel e 1000
Gigabit NICs
(PCI X)
Tab. 2 Wymagania sprzętowe produktów NAC Appliance
© SOLIDEX, 2010
65
Modele wdrożeń NAC Appliance
Dzięki „elastyczności” systemu NAC Appliance klient ma możliwość dostosowania odpowiedniego modelu wdrożenia w zależności od swoich potrzeb.
System NAC Appliance można wdrożyć
na kilka sposobów:
ƒƒ Centralnie i Brzegowo: podział ze
względu na miejsce podłączenia
CASa,
ƒƒ In-Band i Out-Of-Band: podział ze
względu na logiczne podłączenie
CASa i obsługę procesu autoryzacji,
ƒƒ L2 i L3: podział ze względu na
uwzględnienie unikalnego identyfikatora (IP lub MAC).
W modelu IB wdrożenia - CAS kontroluje cały ruch pakietów klienta ( ruch pakietów „przechodzi” przez CAS nawet
po procesie zbadania stanu stacji i jej
uwierzytelnienia).
Układ wdrożenia Out-Of-Band:
Układ wdrożenia Centralnego:
Układ wdrożenia In-Band:
W modelu OOB wdrożenia - CAS kontroluje ruch pakietów klienta tylko do
momentu zbadania stanu stacji oraz jej
uwierzytelnienia.
Układ wdrożenia L2:
W modelu Centralnego wdrożenia - CAS umieszczony jest w „centralnym” miejscu w sieci, zazwyczaj
przy głównym przełączniku( ruch
agregowany z przełączników dostępowych). Zazwyczaj przy tego typu
wdrożeniu CAS wykonuje mapowanie VLANów.
Układ wdrożenia Brzegowego:
W modelu Brzegowego wdrożenia CAS umieszczony jest na „brzegu” sieci korporacyjnej (CAS pracuje w obrębie tylko jednego VLANu, brak mapowania VLANów).
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
66
20 lat SOLIDEX
W modelu L2 wdrożenia - CAS identyfikuje stacje klienta w drugiej warstwie
(MAC adres).
Układ wdrożenia L3:
W modelu L3 wdrożenia - CAS identyfikuje stacje klienta w trzeciej warstwie
( IP adres). Najczęściej model ten stosowany jest dla połączeń WAN i VPN.
Dodatkowo uwzględniając tryby pracy NAC Appliance, modele wdrożeń
przedstawiają się następująco:
ƒƒ In-band Virtual Gateway,
ƒƒ In-band Real-IP Gateway,
ƒƒ In-band Real-IP Gateway/NAT,Out-ofband Real-IP Gateway,
ƒƒ Out-of-band Real-IP Gateway/NAT,
ƒƒ Centralnie wdrożony Virtual Gateway,
ƒƒ Centralnie wdrożony Virtual Gateway,
ƒƒ Centralnie wdrożony Virtual Gateway,
ƒƒ Brzegowo wdrożony Real-IP Gateway,
ƒƒ Real-IP Gateway pracujący w trybie L3,
ƒƒ Real-IP Gateway pracujący w trybie
L2 wdrożony centralnie.
Podsumowanie
Reasumując technologia NAC stanowi nieodzowną część kompletnego
systemu zabezpieczeń. Technologia
NAC jest stosunkowo młoda ale perspektywiczna. Cisco jest już na etapie
dopracowywania najnowszej wersji
NAC Appliance (wersja 4.5). Najnowsza wersja umożliwia przede wszystkim pełną integrację systemu NAC z
rozwiązaniem RADIUS. Dodatkowo
będzie możliwe importowanie i eksportowanie polityk pomiędzy serwerami NAC Manager.
Uzupełniając informacje na temat
produktów Cisco NAC, warto wspomnieć jeszcze o module NME-NAC
-K9 (kompatybilny z ISR 2800, 3800
oprócz 2801, IOS 12.4(11)T). Moduł
NACa jest odpowiednikiem „większego” brata NAC Appliance - stosowanym w mniejszych firmach lub zdalnych oddziałach. Routery z tym modułem są zarządzane również przez
CAMa. Skalowalność tego rozwiązania mieści się w granicach od 50 do
100 użytkowników (licencje na 50
oraz 100 użytkowników).
© SOLIDEX, 2010
67
Innowacja w zabezpieczeniu danych - Cisco GET VPN
Artykuł z Nr 7-8/2008 (99)
Dzisiejsze aplikacje sieciowe bazujące na transmisji głosu oraz obrazu, przyspieszają potrzebę projektowania
rozległych sieci WAN, umożliwiających bezpośrednią komunikację pomiędzy oddziałami danego przedsiębiorstwa
oraz zapewnieniem odpowiedniego poziomu jakości przesyłanego ruchu (QoS - Quality of Service). Rozproszona
natura w/w aplikacji wpływa na zwiększoną potrzebę skalowalności projektowanych rozwiązań.Współczesne
przedsiębiorstwa oczekują od technologii sieci rozległych WAN kompromisu pomiędzy zapewnieniem
odpowiedniej jakości transmisji danych a zagwarantowaniem bezpieczeństwa przesyłanych informacji.
W miarę, gdy wzrasta potrzeba zabezpieczenia przekazywanych danych,
niekiedy wręcz narzucana odgórnymi przepisami (banki, instytucje rządowe), CiscoR GET (Group Encrypted
Transport) VPN eliminuje konieczność
określania kompromisu pomiędzy inteligentną siecią oraz bezpieczeństwem
transportu danych.
Wraz z wprowadzeniem technologii GET,
CiscoR oferuje nową kategorię sieci VPN tunnel-less VPN, która eliminuje konieczność zestawiania tuneli punkt-punkt pomiędzy poszczególnymi oddziałami danego przedsiębiorstwa. GET VPN oferuje
nowy standard modelu bezpieczeństwa,
bazujący na koncepcji „zaufanych” członków zdefiniowanej grupy.
Poprzez zastosowanie metody zaufanych grup, uzyskujemy możliwość projektowania skalowalnych i bezpiecznych sieci przy jednoczesnym zachowaniu jej inteligentnych właściwości (tj.
QoS, routing oraz multicast), krytycznych dla jakości połączeń głosowych
oraz wizyjnych.
GET VPN umożliwia bezpieczne przesyłanie danych w różnorodnych środowiskach WAN (IP, MPLS) bez potrzeby tworzenia kanałów point-to-point
(P2P), minimalizując tym samym opóźnienia transmisji głosu oraz wideo.
GET ułatwia zabezpieczanie dużych
sieci L2 oraz MPLS, które wymagają
częściowej (partial) lub całkowitej (full-mesh) siatki połączeń pomiędzy urzą-
dzeniami brzegowymi poszczególnych
oddziałów danego przedsiębiorstwa.
Sieci MPLS VPN, wykorzystujące ten rodzaj ekrypcji, są sieciami wysoko skalowalnymi, łatwo zarządzanymi oraz
spełniającymi narzucone przez rząd
wymagania, dotyczące szyfrowania.
Elastyczna natura technologii GET
umożliwia świadomym bezpieczeństwa przedsiębiorstwom, zarówno zarządzanie politykami bezpieczeństwa
swojej sieci WAN, jak również przekazanie usługi szyfrowania do ich własnych
operatorów telekomunikacyjnych SP
(Service Provider).
Kluczowe właściwości technologii
GET VPN
Poniżej zaprezentowano kilka kluczowych właściwości technologii GET VPN:
GDOI (Group Domain Of Interpretation) - protokół zarządzania kluczami, odpowiedzialny za ustanawianie
wspólnej polityki bezpieczeństwa (IPSec SA) pomiędzy routerami będącymi
członkami tej samej „zaufanej” grupy.
Centralny serwer kluczy (Key Server) router odpowiedzialny za:
ƒƒ rozsyłanie kluczy bezpieczeństwa
oraz cykliczne ich odnawianie (wysyłanie nowych przed wygaśnięciem
starych),
ƒƒ dystrybucję polityk bezpieczeństwa
do grona routerów będących członkami tej samej zaufanej grupy.
IP Header Preservation - zachowanie
oryginalnego nagłówka IP na zewnątrz
pakietu IPSec.
Redundancja Centralnego Serwera kluczy (Cooperative Key Server) - możliwość implementacji do 8 serwerów
kluczy w ramach jednej domeny. Baza
danych głównego routera, zawierająca
klucze oraz polityki bezpieczeństwa,
synchronizowana z pozostałymi, zapasowymi serwerami kluczy.
Wsparcie dla właściwości typu „anti-replay” - funkcjonalność zabezpieczająca
sieć przed atakami typu „man-in-themiddle”.
Wsparcie dla szyfrowania - możliwość
stosowania algorytmów szyfrowania,
takich jak: DES (Data Encryption Standard), 3DES (Triple DES) oraz AES (Advanced Encryption Standard).
Architektura GET VPN
GET VPN składa się z trzech komponentów:
ƒƒ protokołu zarządzania oraz dystrybucji kluczy (GDOI),
ƒƒ serwera kluczy (key server),
ƒƒ członków zdefiniowanych w ramach
GDOI grup (group members).
GET VPN jest zaawansowanym rozwiązaniem, umożliwiającym grupową (multicast rekeying) oraz pojedynczą (unicast rekeying) dystrybucję kluczy poprzez prywatną sieć WAN. Multicast rekeying oraz GET VPN bazują na proto-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
68
20 lat SOLIDEX
kole GDOI zdefiniowanym przez grupę
IETF zgodnym ze specyfikacją RFC 3547.
GET VPN łączy w sobie zalety protokołów GDOI oraz IPSec w celu zapewnienia efektywnego sposobu szyfrowania ruchu IP typu multicast oraz
unicast.
GDOI (Group Domain
Of Interpretation)
GDOI zasadniczo pełni rolę protokołu zarządzania oraz dystrybucji kluczy. Operuje on pomiędzy członkami grupy a serwerem kluczy (GCKS - Group Controller
or Key Server), odpowiedzialnym za tworzenie logicznych połączeń (IPSec SA)
między uwierzytelnioną grupą urządzeń,
należących do jednej zaufanej strefy.
Security Association (SA) jest relacją
pomiędzy dwoma lub więcej jednostkami, która wyjaśnia, w jaki sposób
jednostki używać będą systemów zabezpieczeń do bezpiecznej komunikacji.
Group Member
Członkowie danej grupy rejestrują się
do centralnego serwera (key server) w
celu otrzymania odpowiednich polityk bezpieczeństwa zawartych w IPSec
S.A., koniecznych do określenia sposobu komunikacji z pozostałymi członkami określonej grupy. Router wysyła do
centralnego serwera identyfikator group ID - numer grupy, do której chciałby przystąpić. Serwer, w ramach odpowiedzi, wysyła do danego routera zdefiniowane dla żądanej grupy polityki
bezpieczeństwa oraz klucze, umożliwiające poprawną i bezpieczną komunikację z pozostałymi członkami danej
domeny.
GET VPN jest wyposażony w mechanizm okresowej zmiany kluczy (rekey
messages), centralny serwer zaś jest
odpowiedzialny za dostarczanie nowych kluczy (przed wygaśnięciem starych) do wszystkim członków grupy.
Członkowie danej grupy zapewniają
usługi szyfrowania jedynie dla interesującego ich ruchu (ruch, który jest
przeznaczony do zaszyfrowania/zabezpieczenia przez protokół IPSec).
Key Server
Centralny serwer odpowiedzialny jest
za utrzymywanie polityk bezpieczeństwa, tworzenie oraz zarządzanie kluczami danej grupy. Komunikacja pomiędzy serwerem a członkami zaufanego
grona jest komunikacją zaszyfrowaną.
Występują dwa rodzaje kluczy bezpieczeństwa, jakimi posługuje się centralny router:
ƒƒ Key Encryption Key (KEK),
ƒƒ Traffic Encryption Key (TEK).
KEK jest odpowiedzialny za szyfrowanie wiadomości mechanizmów okresowej zmiany kluczy (rekey messages).
Klucz TEK jest dystrybuowany do
wszystkich członków danej strefy. TEK
(IPSec SA) jest wykorzystywany w celu
umożliwienia bezpiecznej komunikacji
pomiędzy wszystkimi członkami danej
grupy.
Domyślnie żywotność (lifetime) kluczy
KEK oraz TEK wynosi 86400 sekund (24h).
Wartości te są konfigurowane jedynie na
centralnym serwerze. Zalecane jest, aby
wartość parametru lifetime klucza KEK
była trzykrotnie większa niż wartość tego
samego parametru klucza TEK.
Klucze KEK oraz TEK mogą być dystrybuowane przy wykorzystaniu technologii multicastowych, jak i unicastowych.
1. Członkowie grupy rejestrują się do
centralnego serwera. Serwer kluczy
dokonuje autentykacji oraz autory-
zacji członków, a następnie rozsyła
polityki IPSec oraz odpowiednie klucze konieczne do szyfrowania/deszyfrowania multicastowych pakietów IP.
2. Członkowie grupy wymieniają między sobą ruch multicastowy, zaszyfrowany uprzednio przy użyciu protokołu IPSec.
3. W razie potrzeby serwer kluczy „wypycha” wiadomość „rekey message” do wszystkich członków grupy.
Wiadomość ta zawiera nowe polityki protokołu IPSec oraz klucze, jakie zostaną użyte w przypadku, gdy
„stare” IPSec SA ulegną przedawnieniu. Stosowanie mechanizmu okresowej zmiany kluczy ma gwarantować, iż członkowie określonej grupy
są w ciągłym posiadaniu ważnych
kluczy.
Centralny serwer przechowuje tablice,
zawierającą adresy IP wszystkich członków utworzonych na serwerze grup. W
momencie rejestracji nowego członka danej strefy, key server dodaje jego
adres IP do tablicy, zawierającej adresy
pozostałych członków zaufanej domeny, z którymi ten router zamierza nawiązać bezpieczną komunikację. Dzięki temu serwer kluczy posiada możliwość monitorowania stanu wszystkich
aktywnych członków zdefiniowanych
grup. Jeden router może być członkiem wielu grup.
Rys. 1 Przepływ komunikacji wymagany w celu możliwości rejestracji nowego członka do zdefiniowanej uprzednio grupy
© SOLIDEX, 2010
69
dzy dwoma końcówkami tunelu IPSec
będzie niedostępne, technika header
preservation pomaga również zapobiegać sytuacji powstawania tzw. czarnych dziur („black hole”). Ponad to wykorzystanie techniki zachowania oryginalnego nagłówka IP pozwala również
dziedziczyć właściwości QoS oraz multicast autentycznego pakietu IP.
Rys. 2 Przepływ komunikacji pomiędzy serwerem kluczy a członkami jednej domeny
GET VPN Header preservation
W przypadku sieci WAN, zbudowanych
w oparciu o sieć Internet, wymagane
jest użycie GET VPN wraz z technologią DMVPN (Dynamic Multipoint VPN)
ze względu na stosowanie publicznej
adresacji IP.
Rys. 3 Porównanie szyfrowania Tunnel-mode IPSec oraz GET VPN
Powyższy rysunek przedstawia porównanie sposobu działania szyfrowania danych za pośrednictwem standardowej
metody trybu tunelowego IPSec oraz
metody header preservation stosowanej przez GET VPN. W trybie tunelowym
oryginalny datagram wejściowy IP jest w
całości kodowany do nowego pakietu IP.
Źródłowy router szyfruje pakiety i wysyła
je wzdłuż tunelu IPSec. Router docelowy
deszyfruje oryginalny datagram IP i przesyła go do docelowego miejsca w systemie. Tym sposobem także oryginalny nagłówek IP - a nie tylko segment danych
- podlega ochronie IPSec.
Tryb tunelowy stanowi podstawę dedykowanych VPN-ów pomiędzy urządzeniami typu security gateways.
GET VPN wykorzystuje natomiast technikę zwaną IP header preservation - zachowanie oryginalnego nagłówka IP.
Technika header preservation zachowuje ciągłość routingu w całej przestrzeni adresacji IP sieci WAN danego przedsiębiorstwa. Innymi słowy adres IP użytkownika końcowego jest widoczny w całej sieci WAN (w przypadku
sieci MPLS kwestia odnosi się do urządzeń brzegowych CE). W związku z powyższym stosowanie technologii GET
VPN jest właściwe jedynie, gdy sieci
rozległe pełnią rolę sieci „prywatnych”
(np. w sieciach MPLS).
Oznacza to, iż pakiety chronione protokołem IPSec zawierają w zewnętrznym
nagłówku IP oryginalny adres nadawcy oraz adresata zamiast adresów urządzeń brzegowych, na których terminowany byłby tunel IPSec (jak to ma miejsce w standardowym trybie IPSec Tunnel Mode). Zachowanie oryginalnych
adresów IP w pełni umożliwia technologii GET VPN wykorzystanie funkcjonalności protokołów routingu, występujących w sieciach rdzeniowych zarówno operatorów telekomunikacyjnych, jak i wielu współczesnych przedsiębiorstw. Technika ta daje możliwość
dostarczenia pakietów do dowolnego
urządzenia brzegowego w sieci, które
rozgłasza daną trasę do adresu docelowego. Każdy nadawca oraz adresat odpowiadający zdefiniowanym dla danej
grupy politykom bezpieczeństwa, będzie traktowany w identyczny sposób.
W przypadku, gdy połączenie pomię-
Niezawodność oraz redundancja
GET VPN umożliwia budowę sieci, w
której występować może więcej niż jeden key server. Zastosowanie wielu serwerów kluczy w ramach jednej domeny zapewnia wysoki poziom dostępności oraz szybki czas odtworzenia topologii sieci w przypadku, gdy główny
serwer zostanie uszkodzony.
Każdy serwer w ramach jednej grupy
dystrybuuje spójną politykę bezpieczeństwa do każdego zarejestrowanego członka. Dzięki temu uzyskujemy
możliwość rozłożenia zapytań GDOI
(load balancing) do wszystkich key serwerów, ponieważ każdy serwer świadczy usługi zarejestrowanym w swojej
bazie członkom grupy.
Główny serwer kluczy jest odpowiedzialny za tworzenie oraz dystrybucję polityk bezpieczeństwa do
wszystkich grup. Serwer ten, w celu
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
70
20 lat SOLIDEX
podtrzymania synchronizacji, cyklicznie wysyła informacje o grupach
do każdego z pozostałych zapasowych key serwerów. Jeżeli redundantne serwery nie otrzymają cykliczne wysyłanej aktualizacji, wówczas kontaktują się one z serwerem
głównym, z prośbą o ponowne rozesłanie brakujących danych o topologii sieci GET VPN. Zapasowe serwery traktują serwer główny za nieosiągalny („dead”), jeżeli nie otrzymają
w/w aktualizacji w określonym przedziale czasu.
2. Następnie ustawiamy typ wykorzystywanej autentykacji. W poniższym
przypadku autentykację ustawiono
w trybie pre-share.
W momencie, gdy na serwerze głównym zostaną utworzone nowe polityki bezpieczeństwa, bez względu na
to, do którego serwera kluczy dany
członek grupy został zarejestrowany, serwer główny jest odpowiedzialny za rozesłanie nowych kluczy (rekey messages) do wszystkich członków grupy GDOI.
3. Wydając w globalnym trybie konfiguracji komendę crypto isakmp key,
określamy wartość współdzielonego klucza (w tym przypadku słowo
„key”) oraz adresu IP odległego routera (przyszłego członka naszej grupy).
Adres 10.0.3.2 zostanie wykorzystany
w dalszej kolejności jako przykład konfiguracji członka grupy GDOI.
Każdy serwer posiada swój własny
priorytet. Wartość ta jest konfigurowana przy użyciu interfejsu CLI (Command Line Interface) routera. Serwer
kluczy z najwyższym priorytetem staje się serwerem głównym. W przypadku, gdy wartość priorytetów wszystkich key serwerów jest taka sama,
wówczas router z najwyższym adresem IP zostaje wybrany nadrzędną
jednostką w strukturze.
Konfiguracja GET VPN
Konfiguracja key serwera
1. Konfigurację GET VPN’a należy rozpocząć od utworzenia polityki ISAKMP.
Do jej zdefiniowania używamy komendy crypto isakmp policy w globalnym trybie konfiguracji routera.
4. Nadszedł czas na stworzenie konfiguracji samego serwera kluczy. W tym przypadku należy rozpocząć od zdefiniowania parametru transform-set, który jest
akceptowalną kombinacją protokołów
oraz algorytmów bezpieczeństwa wykorzystywanych przez key serwer. W
poniższym przykładzie został utworzony transform-set o nazwie gdoi.
5. Następnie poprzez wydanie komendy crypto ipsec profile definiujemy
parametry IPSec’a, które będą wykorzystywane do szyfrowania ruchu
pomiędzy dwoma routerami Cisco.
6. Określamy zbiór protokołów, algorytmów oraz funkcji kryptograficznych
jaki może zostać wykorzystany w ramach tworzonej krypto mapy. Jest
to wykonywane z poziomu konfiguracji ktypto mapy poprzez wydanie
komendy set transform-set. W tym
przypadku używamy ustawień gdoi,
jakie zostały przed chwilą stworzone.
7. W celu identyfikacji grupy GDOI, należy wejść do trybu ustawień grupy GDOI, używając komendy crypto
gdoi group w globalnym trybie konfiguracji. W tym przypadku nazwa
grupy brzmi „gdoigroup”.
© SOLIDEX, 2010
71
8. Następnie definiujemy nr grupy
GDOI. W naszym przypadku została
utworzona grupa o numerze 1111.
9. Określamy rolę naszego routera w
sieci jako key server poprzez komendę server local.
er’a. (IP 10.0.5.2 jest adresem naszego centralnego routera).
Proszę zauważyć, iż w konfiguracji polityki ISAKMP używamy tego samego współdzielonego klucza, jaki został
utworzony na urządzeniu centralnym
(słowo „key”).
4. Przypisanie stworzonej krypto mapy
do interfejsu Ethernet 0/0 routera jest
ostatnim elementem konfiguracji group member’a. Interfejs ten jest podłączony do sieci LAN danej lokalizacji.
2. Następnie:
a. identyfikujemy grupę GDOI, nadając jej nazwę spójną z nazwą określoną na serwerze kluczy („gdoigroup”). Komendę crypto gdoi group
wydajemy w globalnym trybie konfiguracji,
Następnie w trybie konfiguracji serwera:
a. określamy nadawcę lub adresata
wiadomości typu „rekey message”
- rekey address ipv4 101, gdzie 101
jest numerem ACL, ograniczającej
odpowiednio pulę adresów IP source/destination,
b. ograniczamy żywotność klucza KEK
do 10 godzin poprzez wydanie komendy rekey lifetime seconds 3600,
c. określamy nazwę klucza, jaki zostanie wykorzystany dla danej grupy
GDOI w momencie cyklicznego odświeżania kluczy (rekey authentication mypubkey).
Konfiguracja Group Member’a
1. W pierwszej kolejności musimy
utworzyć politykę ISAKMP, której
konfiguracja wygląda analogicznie
do konfiguracji serwera kluczy. Wyjątkiem jest adres IP odległego pe-
b. określamy numer grupy GDOI. Numer ten (1111) musi odpowiadać numerowi użytemu uprzednio na key
serwerze,
c. wskazujemy adres IP naszego głównego serwera (10.0.5.2).
3. Kolejnym elementem konfiguracji
jest utworzenie krypto mapy, określając jej przynależność do wcześniej zdefiniowanej grupy GDOI
(gdoigroup).
Proszę zwrócić uwagę, iż adres 10.0.3.2
został wskazany w konfiguracji polityki ISAKMP centralnego serwera kluczy.
Różnice pomiędzy DMVPN
oraz GET VPN
Wielu Klientów wierzy, iż DMVPN oraz
GET VPN są rywalizującymi ze sobą
technologiami. Oczywiście nie jest
to prawdą. Dynamic Multipoint VPN
oraz Group Encrypted Transport są
uzupełniającymi się technologiami
Cisco. GET VPN może być lekarstwem
na występowanie dużych opóźnień w
przypadku implementacji usług głosowych oraz wizyjnych w sieciach
VPN zbudowanych w oparciu o tunele IPSec P2P.
DMVPN umożliwia budowę topologii typu spoke-to-hub oraz spoke-to-spoke przy zastosowaniu protokołu multipoint GRE (mGRE) oraz
funkcji NHRP (Next Hop Resolution
Protocol). Dla połączeń typu spoketo-spoke, chcący nawiązać połącze-
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
72
20 lat SOLIDEX
nie router musi wysłać do jednostki
centralnej (hub) zapytanie rozwiązania NHRP w celu zestawienia tunelu
z żądanym routerem typu spoke. Zanim zostanie zbudowany dynamiczny tunel, cały ruch jest przesyłany poprzez lokalizację typu hub. Zestawianie tuneli DMVPN typu spoke-to-spoke może być powolne, ze względu na
zapytania NHRP do routera lokalizacji centralnej. W celu otrzymania odpowiedzi ze strony adresata, ta sama
procedura jest inicjowana przez destination spoke, zwiększając tym samym sumaryczne opóźnienie.
Poprzez zastosowanie rozwiązania
Cisco GET VPN, opóźnienie spowodowane negocjacją tuneli IPSec jest eliminowane ze względu na to, iż połączenia pomiędzy lokalizacjami można uważać za statyczne.
Dostępność platform
Poniżej tabela uwzględniająca urządzenia Cisco, na których istnieje możliwość uruchomienia funkcjonalności GET VPN. IOS Advanced Security
12.4(15)T jest najniższą rekomendowaną przez producenta wersją oprogramowania na wskazane platformy warstwy trzeciej.
Kto i kiedy powinien być zainteresowany technologią GET VPN?
Klienci zainteresowani wdrożeniem
rozwiązań VPN dla topologii hub-andspoke mogą wdrożyć rozwiązania połączeń tunelowych:
ƒƒ typu punkt-punkt IPSec,
ƒƒ Cisco Enhanced Easy VPN z virtual
tunnel interfaces (VTIs),
ƒƒ Cisco Dynamic Multipoint VPN
(DMVPN).
Klienci potrzebujący połączeń typu partial-mesh, spoke-to-spoke VPN, powinny wdrożyć rozwiązanie DMVPN wraz
z GET VPN. Identyczna rekomendacja wiązana jest z budową sieci, umożliwiających realizację ruchu typu multicast oraz możliwość realizacji dynamicznych protokołów routingu poprzez sieć
publiczną Internet. Implementacją technologii Cisco GET VPN powinni być zainteresowani Klienci, oczekujący szyfrowania przesyłanych danych:
ƒƒ poprzez tradycyjne sieci WAN, ale
nie budowane w oparciu o publiczną
sieć Internet,
ƒƒ przy konieczności zachowania wykorzystywanych w firmie aplikacji,
pracujących w oparciu o technologię mulicastową oraz dynamiczny routing,
ƒƒ poprzez sieci IP MPLS.
© SOLIDEX, 2010
73
Guest networking - realizacja dostępu gościnnego w sieciach
Artykuł Nr 5-6/2009 (104)
Dla nowoczesnych przedsiębiorstw, pragnących nadążyć za rozwojem biznesu, konieczne w obecnych
czasach stało się świadczenie dostępu gościnnego do sieci dla swoich klientów, partnerów, dostawców i innych
osób w celu osiągnięcia większej wydajności własnego biznesu, bliższej współpracy oraz lepszego poziomu
serwowanych usługi.
Poprzez wdrożenie kompletnego rozwiązania, realizującego dostęp gościnny do sieci dla osób odwiedzających
oraz firm partnerskich, przedsiębiorstwa mogą w pełni kontrolować poziom dostępu do sieci, zmniejszać lub
nawet eliminować konieczność wsparcia działów IT dla personelu oraz utrzymywać ruch gościnny - bezpiecznie
odseparowany od zasobów wewnętrznych.
Wprowadzenie
Potrzeba świadczenia dostępu gościnnego ewoluowała na przestrzeni ostatnich lat. Dzisiaj, biorąc pod
uwagę szeroką dostępność oraz wykorzystywanie takich narzędzi, jak:
komputery przenośne, aplikacje sieciowe czy telefonia IP, osoby odwiedzające przedsiębiorstwa, wymagają jako minimum dostępu do sieci Internet oraz możliwości zestawiania
połączeń z macierzystymi zasobami
poprzez sieci VPN. Dodatkowo, firmy
partnerskie/suportowe, mogą również oczekiwać dostępu do pewnych
zasobów wewnętrznych sieci korporacyjnych, takich jak: drukarki, Web
serwery czy współdzielone zasoby. Należy pamiętać, że wszystkie te
funkcje dostępu gościnnego powinny zostać osiągnięte bez jakiegokolwiek negatywnego wpływu na bezpieczeństwo zasobów sieci korporacyjnej.
Kluczowym aspektem, pozwalającym
na wdrożenie komplementarnego systemu dostępu gościnnego, jest spełnienie wielu warunków, m.in.:
ƒƒ zapewnienie pełnej integracji z siecią korporacyjną, wykorzystując jej
zasoby do świadczenia dostępu dla
użytkowników spoza organizacji,
ƒƒ dostępnienie zasobów zarówno
dla użytkowników, korzystających
z urządzeń bezprzewodowych, jak i
tych wymagających połączenia z wykorzystaniem okablowania strukturalnego,
ƒƒ pełne odseparowanie logiczne ruchu
„gości” od sieci korporacyjnej,
ƒƒ autoryzowanie dostępu do zasobów
udostępnianych firmom partnerskim,
ƒƒ raportowanie aktywności użytkowników, kontrola treści,
ƒƒ udostępnienie możliwości zestawiania połączeń VPN z macierzystymi
sieciami użytkowników,
ƒƒ uwierzytelnianie oraz logowanie „gości”.
Kategoryzacja użytkowników
Dla większości firm, można przyjąć
pewien standard podziału użytkowników sieci korporacyjnej (rys.1), według którego budowana jest polityka udostępniania określonych zasobów sieci.:
ƒƒ Pracownicy korporacyjni – użytkow-
nicy sieci zatrudnieni przez przedsiębiorstwo, posiadający pełen dostęp do zasobów wewnętrznych, realizowany często w oparciu o prawa
przydzielane na podstawie przynależności do odpowiednich grup (np.
w oparciu o Active Directory).
ƒƒ Partnerzy – użytkownicy współpracujący z organizacją, wymagający
przydzielenia ograniczonego dostępu do ściśle określonych zasobów
wewnętrznych, tj. drukarki, serwery
plików, aplikacje.
ƒƒ Goście – użytkownicy zewnętrzni
wykorzystujący jedynie połączenie
do sieci Internet.
Zagadnienia projektowe
Aby umożliwić zewnętrznym użytkownikom dostęp np. do sieci Internet, konieczne jest zwirtualizowanie zasobów sieci
korporacyjnej, w celu wykreowania segmentu sieci, przeznaczonego do transportowania ruchu, generowanego tylko przez użytkowników gości, przy jednoczesnym zachowaniu pełnej separacji
od sieci korporacyjnej. Dostęp do sieci Internet przydzielany jest w oparciu o urządzenia dostępowe tzw. „control points”,
służące do uwierzytelnienia użytkowników, wymuszenia akceptacji polityki bezpieczeństwa oraz dostępu do sieci, a także do określenia zasobów dostępnych dla
konkretnego „gościa”. Dodatkowo, bazując na wielu SSID oraz VLAN’ach, możliwe
jest przydzielenie konkretnego pasma dla
odpowiednich grup zewnętrznych użytkowników mobilnych.
Istnieją podstawowe cele jakie musi spełniać system korporacyjnego dostępu do
sieci dla użytkowników spoza organizacji:
ƒƒ Poprawna identyfikacja użytkowni-
ków typu „Gość” lub „Partner” oraz
przypisanie ich do odpowiedniego
segmentu sieci.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
74
20 lat SOLIDEX
ƒƒ Izolacja ruchu użytkowników zewnętrz-
nych od sieci korporacyjnej, zapewniając jednocześnie dostęp do sieci Internet.
ƒƒ Wyodrębnienie ruchu użytkowników
typu „partner”, przydzielając jednocześnie dostęp do określonych zasobów wewnętrznych (serwery plików,
aplikacje) oraz do sieci Internet.
ƒƒ Dostarczanie usług sieciowych dla
gości/partnerów, takich jak:
‚‚ usługi sieciowe - DHCP, DNS, dostęp do Internetu, dostęp do określonych zasobów w zależności od
kategorii użytkownika,
‚‚ usługi bezpieczeństwa – Firewall,
Load Balancer, IDS, przydział odpowiednich SSID, bezprzewodowe mechanizmy uwierzytelniania
802.11i/EAP, uwierzytelnianie poprzez portal Web (dla użytkowników bezprzewodowych oraz przewodowych), etc.
System korporacyjnego dostępu do
sieci dla użytkowników gość/partner
można podzielić na trzy obszary funkcjonalne:
ƒƒ Kontrola dostępu
‚‚ uwierzytelnienie klienta (użytkownika, urządzenia, aplikacji), próbującego uzyskać dostęp do sieci,
‚‚ autoryzacja klienta do odpowiedniej partycji(VLAN, ACL),
‚‚ odmowa dostępu dla nie uwierzytelnionych klientów,
‚‚ identyfikacja użytkowników przewodowych i bezprzewodowych,
‚‚ autoryzacja gości w odpowiednim
gościnnym VLAN-ie lub SSID.
ƒƒ Izolacja ruchu
‚‚ zachowanie rozdziału ruchu w infrastrukturze warstwy 3,
‚‚ transport ruchu w odizolowanych
partycjach L3,
‚‚ mapowanie izolowanych ścieżek
warstwy 3 do VLAN-ów na brzegu
sieci,
‚‚ odizolowanie ruchu gości od wewnętrznych celów,
‚‚ przekierowanie ruchu gości do
urządzeń uwierzytelniających.
ƒƒ Usługi na brzegu sieci
‚‚ zapewnienie dostępu do usług:
‚‚
‚‚
‚‚
‚‚
- współdzielonych,
- dedykowanych,
narzucenie polityk per partycja,
izolacja środowisk aplikacyjnych
(jeżeli konieczna),
dostęp do Internetu i polityki specyficzne dla gości i pracowników,
uwierzytelnienie przez WWW, dedykowane dla gości DHCP i DNS.
Strefa kontroli dostępu ma za zadanie określić, w jaki sposób różni użytkownicy mogą łączyć się z siecią korporacyjną. Celem tej strefy jest stworzenie wirtualnego środowiska dostępu do sieci dla każdej z wykreowanych grup użytkowników, np. użytkownicy typu gość otrzymają dostęp jedynie do sieci Internet, podczas gdy „partnerzy” będą mogli korzystać również z aplikacji, działających w sieci. Ponieważ wirtualne sieci
wykreowane na potrzeby zewnętrznych użytkowników będą wykorzystywały zasoby sieci korporacyjnej,
urządzenia dostępowe będą świadczyły usługi dla wielu grup użytkowników. Oznacza to, iż porty przełączników oraz bezprzewodowe punkty dostępowe będą stanowiły wspólne medium podłączenia do sieci, zarówno dla pracowników organizacji,
jak i użytkowników spoza firmy. Konieczne jest więc zapewnienie dynamicznych mechanizmów, pozwalających na rozróżnienie użytkowników
końcowych oraz przypisanie im odpowiedniej polityki dostępu, gwarantując tym samym jednoznaczne przypisanie dostępnych zasobów do danego konta użytkownika, np. poprzez
odpowiednie przypisanie portu przełącznika lub SSID do odpowiedniego
vlan’u.
W zależności od medium, za pomocą
którego użytkownicy łączą sie z siecią
korporacyjna, istnieje wiele metod kontroli dostępu:
ƒƒ Dostęp z wykorzystaniem okablowania strukturalnego:
‚‚ statyczne przypisanie portu przełącznika do odpowiedniego VLAN’u,
‚‚ 802.1x Guest VLAN - uwierzytelnienie oparte o protokół 802.1x, w przypadku braku suplikanta 802.1x na
stacji roboczej port zostaje automatycznie przypisany do VLAN’u „gość”.
W przypadku pozytywnie zakończonego procesu uwierzytelniania port
zostanie przypisany do odpowiedniego VLAN’u korporacyjnego,
‚‚ 802.1x Authentication Failed VLAN
– proces podobny do poprzedniego przypadku, z tą różnicą, że stacja końcowa wyposażona jest w
suplikanta 802.1x, jednak proces
uwierzytelniania nie kończy się
przydzieleniem do odpowiedniego VLAN’u. Auth_Failed VLAN często jest tożsamy z Guest VLAN’em.
ƒƒ Dostęp bezprzewodowy:
‚‚ udzielenie dostępu do sieci w medium bezprzewodowym odbywa
sie najczęściej za pomocą otwartej
autentykacji z wykorzystaniem dedykowanych SSID, przypisanych po
stronie sieci przewodowej do odpowiednich sieci wirtualnych.
Kolejnym istotnym zagadnieniem przy
budowie systemu dostępu gościnnego w korporacyjnych sieciach jest określenie metody separacji ruchu użytkowników zewnętrznych od zasobów wewnętrznych sieci. Najprostszą metodą
do zrealizowania powyższych wymagań
jest stworzenie wydzielonych domen
L2, dla poszczególnych grup użytkowników. O ile taka sytuacja może mieć miejsce w niewielkich sieciach LAN, o tyle
w sieciach korporacyjnych wielkiej skali może prowadzić do wielu komplikacji.
Konieczność rozciągnięcia domen L2 w
trybie „end-to-end” od warstwy dostępowej, poprzez rdzeń sieci, aż do styku
siecią Internet wpływa niekorzystnie na
wszystkie zalety hierarchicznego systemu sieci, opartego o protokoły routingu
warstwy L3, takie jak: skalowalność, modularność czy łatwość implementacji
zmian. Wymagane jest wiec zastosowanie mechanizmów wirtualizacji sieci, pozwalających na zachowanie hierarchicznego systemu sieci. Wśród nich można
wyróżnić następujące, najpopularniejsze metody:
© SOLIDEX, 2010
75
ƒƒ Distributed ACLs – listy kontrolne (ACL)
zdefiniowane są na urządzeniach L3
i odnoszą sie do ruchu gościnnego
LAN/WLAN. Należy zauważyć, że takie
rozwiązanie nie jest skalowalne, choć
niewątpliwie trudne w zarządzaniu
oraz podatne na skompromitowanie.
ƒ ƒ Tunele GRE – jeżeli infrastruktura
sprzętowa pozwala na takie rozwiązanie możliwe jest stworzenie
połączeń z wykorzystaniem tuneli GRE np. w trybie „hub-andspoke”, pomiędzy urządzeniami
kontrolującymi dostęp a przełącznikami/routerami na styku z siecią
Internet.
ƒƒ VRF – uruchomienie wielu instancji Virtual Routing/Forwarding na
wszystkich urządzeniach terminujących połączenia trunk 802.1Q, tworząc tym samym wiele wirtualnych
sieci routowanych, w oparciu o tę
samą infrastrukturę fizyczną.
ƒ ƒ Ethernet over IP – najnowsza technologia pozwalająca na świadczenie dostępu gościnnego z wykorzystaniem kontrolerów bezprzewodowych Cisco Wireless LAN
Controllers. Aby wydzielić ruch
użytkowników „gości” w sieci produkcyjnej w strefie DMZ, zainstalowany jest dodatkowy kontroler
tzw. „anchor”. Pomiędzy kontrolerami obsługującymi użytkowników korporacyjnych oraz tym zainstalowanym w strefie DMZ komunikacja odbywa się poprzez tunel EoIP, gwarantując separację ruchu produkcyjnego od użytkowników „gości”. Co warte podkreślenia - kontrolery WLC pozwalają również na terminowanie połączeń od użytkowników stacjonarnych. W takim przypadku porty należące do VLAN’u „gość”, wykreowane zostają na przełączniku
dostępowym, następnie ruch jest
przesyłany przez połączenie typu
trunk do kontrolera WLC, który posiada specjalnie wykreowany interfejs „wired guest”. Dalsza komunikacja odbywa się już przez tunel
EoIP do strefy DMZ.
System dostępu do sieci
korporacyjnej - komponenty
System dostępu gościnnego powinien
zostać oparty o następujące komponenty:
ƒƒ Infrastrukturę fizyczną z odseparo-
waną komunikacją typu „gość”:
‚‚ infrastrukturę fizyczną, stanowiącą
punkt kontroli dostępu, mogą stanowić urządzenia, takie jak: Cisco
NAC Appliance (w przypadku stacjonarnych klientów) lub Cisco Wireless
Controller (zarówno dla użytkowników mobilnych jak i stacjonarnych).
ƒƒ Portal przydzielania dostępu:
‚‚ to strona Web udostępniona pracownikom organizacji, dzięki której
możliwe jest zakładanie kont użytkownikom zewnętrznym, świadczona przez Cisco Wireless Controller, Cisco Wireless Control System lub Cisco NAC Guest Server.
ƒƒ Portal logowania do systemu:
‚ ‚ to strona Web generowana przez
WLC Controller/NAC Appliance,
poprzez którą użytkownik „gość”
podaje dane, konieczne do uzyskania dostępu do sieci korporacyjnej.
Biorąc pod uwagę fakt, iż większość
odwiedzających oczekuje mobilnego
dostępu do sieci, z wykorzystaniem
komputerów przenośnych, palmtopów, etc., w dalszej części opracowania opisany zostanie system dostępu do sieci korporacyjnej w oparciu o
platformę Cisco Unified Wireless Network.
Do skomponowania kompletnego systemu dostępu gościnnego, opartego o
platformę CUWN, konieczne są następujące elementy:
ƒƒ punkty dostępowe świadczące fizyczny dostęp do sieci,
ƒƒ kontrolery bezprzewodowe WLC –
punkt kontroli dostępu oraz portal
logowania,
ƒƒ NAC Guest Server – portal przydzielania dostępu.
Co ważne podkreślenia, kontrolery
WLC mogą również pełnić funkcję
urządzeń, wymuszających kontrole
dostępu dla użytkowników stacjonarnych, pozwalając tym samym na
uruchomienie dostępu gościnnego,
niezależnie od medium z jakiego korzystają osoby, odwiedzające organizację. Budując system sieci bezprzewodowej w przedsiębiorstwie, można więc uruchomić system, realizujący dostęp gościnny dla użytkowników „Wireless/Wired”, bez ponoszenia jakichkolwiek dodatkowych
kosztów.
Kluczową funkcję w całym systemie
pełni NAC Guest Server. NGS to platforma umożliwiająca pracownikom
organizacji tzw. „sponsorom” tworzenie tymczasowych kont gości. Sponsorzy łączą się z platformą NGS poprzez interfejs Web, podlegają uwierzytelnieniu (na podstawie lokalnej
bazy lub zewnętrznej, np. Active Directory) oraz otrzymują prawa przyznane na podstawie roli, jaka została
przypisana do ich konta użytkownika.
Sponsorzy mogą posiadać uprawnienia do tworzenia, edytowania lub zawieszenia kont „gości” oraz do generowania raportów z ich aktywności.
Do kluczowych cech NAC Guest Server należą:
ƒƒ Tworzenie kont „gości”
‚‚ Cisco NAC Guest Server tworzy
konta w oparciu o zasady ustanowione dla określania nazw użytkowników i haseł. Nazwy użytkownika mogą być oparte o e-mail,
imię, nazwisko lub całkowicie losowy ciąg znaków określony przez
administratora. Długość i złożoność haseł mogą być tworzone dowolnie, tak aby spełnić korporacyjne polityki bezpieczeństwa.
ƒƒ Przekazywanie informacji dotyczących kont „gości”
‚‚ Przekazywanie informacji o utworzonym koncie użytkownika do
„gościa” może być wykonywane
na wiele różnych sposobów, które
są w pełni konfigurowalne przez
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
76
20 lat SOLIDEX
administratora. Dane mogą być
drukowane w formie papierowej,
wysyłane jako wiadomość e-mail
przed ich przybyciem lub przekazywane przez SMS na telefony komórkowe. Niezależnie od sposobu
przekazywania informacji, ich treści oraz zakres jest w pełni konfigurowalny. Administratorzy mogą
dodać szczegóły, takie jak: dodatkowe instrukcje lub konieczność
zapoznania się z polityką dostępu
gościnnego.
ƒƒ Ścisła integracja z Cisco NAC Appliance
‚‚ Cisco NAC Guest Server integruje się z Cisco NAC Appliance poprzez swoje API. W ten sposób
konta „gości” mogą być kontrolowane bezpośrednio na serwerze
NCS, w zakresie tworzenia, edycji,
zawieszania i usuwania kont. Cisco NAC Guest Server następnie
zarządza tymi kontami na platformie Cisco NAC Appliance Manager. Dodatkowo NCS umożliwia centralne raportowanie aktywności użytkowników.
ƒƒ Ścisła integracja z Cisco Wireless LAN
Controller
‚‚ Cisco NAC Guest Server integruje się z Cisco WLAN kontrolerów
poprzez protokół RADIUS. Dzięki temu konta użytkowników
mogą być tworzone, edytowane, czy też usuwane bezpośrednio na NGS, natomiast kontrolery bezprzewodowe wykorzystują Cisco NAC Guest Server jedynie do uwierzytelniania użytkowników. Oprócz tego NGS zbiera
informacje, dotyczące aktywności użytkowników z kontrolerów
bezprzewodowych, pracujących
w sieci LAN w celu umożliwienia
pełnego, centralnego raportowania zdarzeń.
Cisco NAC Guest Server to samodzielny element, który może być dodawany zarówno do systemu Cisco NAC
lub architektury Cisco Unified Wireless Network w celu zintegrowania portalu udostępniania bezpiecznego dostępu gościnnego. NAC Gu-
est Server zawiera bazę kont „gości”
oraz zintegrowany serwer sieci Web,
aby umożliwić dostęp dla „sponsorów” oraz administratorów. Możliwość integracji z Cisco NAC Appliance lub kontrolerami bezprzewodowymi sprawia, iż może świadczyć usługi
- zarówno dla klientów mobilnych, jak
i stacjonarnych.
Sam proces podłączenia użytkowników przedstawia się następująco:
1. Pracownik organizacji, wykorzystując konto „Lobby Ambassador’a”,
tworzy przy użyciu interfejsu Web
konto typu „gość”.
2. Dane konieczne do logowania zostają przekazane użytkownikowi zewnętrznemu w postaci drukowanej,
e-mail’a lub SMS’a.
3. Użytkownik „gość” podłącza swoją stację roboczą do sieci, uzyskuje
adres IP z puli przeznaczonej dla tej
grupy użytkowników.
4. Pierwsze uruchomienie przeglądarki internetowej i wygenerowanie
dowolnego zapytania przekierowu-
je użytkownika do strony logowania wygenerowanej przez platformę
kontrolera bezprzewodowego.
5. „Gość” loguje się za pomocą wcześniej otrzymanych danych od pracownika organizacji i po poprawnie
przeprowadzonym procesie uzyskuje dostęp do zasobów przypisanych
jego profilowi.
Schemat podłączenia użytkownika typu
„gość” został przedstawiony na schemacie poniżej:
Podsumowanie
Dostęp gościnny to jedna z tych
usług, których świadczenie stanie
się w niedługim czasie koniecznością, aby infrastruktura IT nie wpływała niekorzystnie na rozwój organizacji. Wychodząc naprzeciw tym potrzebom, firma Cisco Systems oferuje
komplementarne rozwiązanie, gwarantujące szybką implementację, pełną skalowalność oraz bezpieczeństwo usług zwanych potocznie „Guest Networking”, przy zachowaniu
całkowitej kontroli nad użytkownikami zewnętrznymi.
Schemat podłączenia użytkownika „gość” do sieci korporacyjnej
© SOLIDEX, 2010
77
Przegląd rozwiązań mobilnych w świecie UC
Artykuł z Nr 1-2/2009 (102)
Świat mobilnych usług IT stale ewoluuje. Pracownicy korporacyjni mają dostęp do dużej liczby narzędzi,
pozwalających na lepszą organizację pracy oraz wykorzystanie zasobów. Wraz z rosnącą ilością aplikacji oraz
dostępnych systemów, wzrasta również złożoność „naszego” osobistego centrum informacyjnego. Nietrudno
zauważyć pracowników, korzystających na co dzień z kilku urządzeń mobilnych, komunikatorów oraz z
aplikacji typu chat/IM itp. Klienci oczekują dzisiaj większej swobody i uproszczenia systemu, w którym coraz
trudniej się poruszać. Artykuł ten jest próbą przybliżenia rozwiązań, które są obecnie popularne oraz wytaczają
kierunek przyszłym, nowoczesnym oraz zintegrowanym systemom komunikacyjnym.
Mobilność w świecie UC
Rozwiązania mobilne w systemach Cisco Unified Communications można
podzielić na kilka grup, w zależności od
charakteru rozwiązania.
1. Mobilność urządzeń / aplikacji dostępowych użytkowników
2. Mechanizmy dostepne w systemie
CUCM (Cisco Unified Communications Manager) (wbudowane)
3. Mobilność oraz integracja klientów
GSM/WLAN (Nokia)
4. CUMA (Cisco Unified Mobility Advantage Server) - nowe podejście do
mobilnej komunikacji korporacyjnej
Każda z tych metod pozwala zrealizować poszczególne aspekty szeroko rozumianej mobilności użytkownika. Odpowiednie połączenie wszystkich tych
metod pozwala nam dzisiaj skonstruować, sprawnie działające mobilne środowisko komunikacyjne. Dwie ostatnie
metody kładą nacisk na możliwość rozszerzenia korporacyjnego systemu komunikacyjnego poza obszar organizacji. W poniższych punktach niniejszego
artykułu przybliżone zostaną wymienione powyżej metody.
Mobilność urządzeń oraz aplikacji
dostępowych
W tradycyjnym systemie komunikacyjnym opartym o klaster CUCM, użytkownicy mogą korzystać z następujących aplikacji/urządzeń dostępowych:
ƒƒ stacjonarne telefony IP z serii CP79XX,
ƒƒ telefony Cisco IP działające w obrębie
sieci WLAN (CP-7925/CP-7921),
ƒƒ aplikacja Cisco Unified IP Communicator,
ƒƒ aplikacja Cisco Unified Personal Communicator (wymagany Presence Sever),
ƒƒ telefony SIP (innych producentów),
ƒ ƒ systemy wideokonferencyjne (SIP/H.323).
Wszystkie wymienione powyżej aplikacje zapewniają mobilność użytkownikom. Telefony IP jako urządzenia, traktowane są jak zwykły komputer PC, co pozwala podłączyć taki aparat w dowolnym punkcie sieci korporacyjnej. Przenoszenie aparatu pomiędzy lokalizacjami
może jednak sprawiać pewne problemy.
Telefon IP korzysta z pewnych parametrów zdefiniowanych w systemie CUCM
w sposób statyczny (np. zasoby konferencyjne, zasoby SRST, bramy domyślne,
lokacje, regiony). Przeniesienie aparatu
do innej podsieci IP skutkowało wykorzystaniem „starych” zasobów, co było nieefektywne, a w niektórych przypadkach
niemożliwe. Rozwiązanie zastosowane
w systemie CUMC to tzw. „Device Locations”. Telefon podczas rejestracji zostaje
przypisany do określonych zasobów na
podstawie adresu IP, z jakiego podjęto
próbę rejestracji. Na podstawie specjalnego algorytmu badana jest fizyczna lokalizacja telefonu i przydzielane są odpowiednie zasoby.
W przypadku drugiej grupy produktów, mamy do czynienia z aplikacja-
mi, które instalowane na stacjach roboczych pełnia funkcje mobilnych komunikatorów (soft-phone).
W przypadku aplikacji mobilnych mamy
do czynienia z dwoma produktami:
ƒƒ Cisco Unified IP Communicator
Z punktu widzenia systemu mamy do
czynienia klasycznym telefonem IP,
wiec dotycza go wszystkie reguły opisane powyżej.
Cisco Unified Personal
Communicator
Aplikacja Cisco Unified Personal Communicator jest próba stworzenia jednego narzędzia, z poziomu którego
można obsługiwać prawie wszystkie
aplikacje z gamy Cisco UC. Klient zainstalowany na komputerze PC użytkownika może pracować w dwóch trybach:
soft-phone oraz desk-phone. W przypadku soft-phone klient jest samodzielnym telefonem SIP’owym, natomiast w przypadku trybu desk-phone
mamy możliwość kontrolowania telefonu „biurkowego”. Podstawowe funkcje klienta CUPC, to:
ƒƒ obsługę/wywołanie konferencji w
systemie MeetingPlace/MeetingPlace Express,
ƒƒ odsłuchanie wiadomości głosowej,
ƒƒ przeszukanie struktury AD w celu lokalizacji abonenta,
ƒƒ zestawienie sesji chat/IM pomiędzy
abonentami,
ƒƒ modyfikacje statusu dostępności
użytkownika,
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
78
20 lat SOLIDEX
ƒƒ możliwość integracji z systemem Microsoft OCS,
ƒƒ wybór preferowanej metody kontaktu.
Aplikacja pozwala użytkownikowi na
dostęp do korporacyjnych zasobów telekomunikacyjnych praktycznie z dowolnego miejsca, w którym jest dostęp
do sieci.
W punkcie tym wspomnieć należy również o całej gamie urządzeń dodatkowych, mogących współpracować z systemem UC. W przypadku szeroko rozumianej mobilności i dostępności użytkownika wspomnieć należy o możliwości współpracy z dowolnymi telefonami innych producentów (opartymi o
protokół SIP) oraz o możliwości integracji z systemami wideokonferencyjnymi
(opartymi o protokół SIP/H.323) [TANDBERG, Polycom, Sony].
Mechanizmy mobilności dostępne
w systemie CUCM
Najnowsze odsłony systemu Cisco Unified Communications (6.x i 7.0) wprowadziły dużą liczbę mechanizmów
wspierających rozwiązania mobilne,
które zostały wymienione poniżej.
Single Number Reach
(Mobile Voice Connect)
Funkcjonalność ta pozwala na zdefiniowanie do 10 lokalizacji „zdalnych”,
na które kierowane będzie połączenie,
podczas kontaktowania się z numerem telefonu przypisanym do odbiorcy mobilnego. Zazwyczaj mechanizm
ten stosuje się do obsługi telefonu komórkowego użytkownika. Jest to oczywiście jedno z możliwych zastosowań
tej funkcjonalności.
Scenariusz połączenia mógłby wyglądać następująco:
1. Połączenie z PSTN przychodzi na
numer telefonu IP (numer biurkowy
- korporacyjny - 2222).
2. Połączenie jest sygnalizowane na telefonie biurkowym i po chwili również na telefonie komórkowym
użytkownika (3333).
3. Użytkownik może odebrać połączenie na obydwu urządzeniach. Po
odebraniu połączenia na jednym
z urządzeń, drugie automatycznie
przestaje dzwonić.
4. Połączenie może być przekazywane
pomiędzy urządzeniami bez rozłączenia go (z poziomu telefonu IP za
pomocą przycisku soft-key, a z poziomu telefonu zdalnego poprzez rozłączenie i następnie podjecie rozmowy
z telefonu biurkowego w skończonym ustalonym okresie czasu).
5. Numer prezentowany użytkownikowi na jego telefonie mobilnym to
2222, numer dzwoniącego abonenta
z sieci PSTN nie jest przekazywany.
Rys.1 Działanie funkcjonalności Single Number Reach (Mobile Voice Connect)
Urządzeniem mobilnym może być jakikolwiek telefon osiągalny poprzez
PSTN lub telefon IP w innym kastrze
(osiągalny za pomocą trunku ICT) jednak nie może być to inny telefon
IP zarejestrowany w tym samym klastrze.
Mobile Voice Access / Enterprise
Feature Access
MVA oraz EFA są funkcjami bazującymi na działaniu mechanizmu Mobile Voice Connect. W obu przypadkach funkcjonalność pozwala na zestawienie połączenia z sieci PSTN
do wnętrza naszej organizacji. Po
pomyślnym uwierzytelnieniu, użytkownik może zestawić połączenie
na zewnątrz (PSTN), korzystając z
korporacyjnego systemu telefonicznego.
Funkcjonalność MVA bazuje na systemie IVR, realizowanym za pomocą
gateway’a VXML H.323. Zaznaczyć
należy, ze jest to wymagane rozwiązanie. Jeżeli system korporacyjny nie
używa gateway H.323 do połączenia
z siecią telefoniczna, należy rozważyć wdrożenie dedykowanego gateway’a VXML dla potrzeb tej funkcjonalności.
Scenariusz połączenia może wyglądać
następująco:
1. Użytkownik wykonuje połączenie z
sieci PSTN na skonfigurowany wcześniej numer dostępowy organizacji
(Enterprise Mobile Voice Access).
2. Użytkownik wprowadza ID oraz PIN
(skrypt VXML).
3. Użytkownik wprowadza numer
abonenta (PSTN), z którym chce się
skontaktować.
4. Rozmowa jest inicjowana z wnętrza
systemu do sieci PSTN.
Funkcjonalność EFA, czyli Enterprise
Feature Access, działa bardzo podobnie. W tym przypadku nie jest używany system IVR. Zaznaczyć należy, ze w
działaniu tych funkcji istnieją zasadnicze różnice, które pokazuje poniższa
tabelka:
© SOLIDEX, 2010
79
MVA
EFA
Wymagania
konfiguracyjne
H.323 VXML
Gateway
Enterprise
Feature
Access DID
IVR
Tak
Nie
Calling Phone
Rozmowa może być wykonana
z dowolnego telefonu PSTN
Rozmowa może być wykonana tylko z telefonu
określonego jako Remote Destination
Identyfikacja/
Autentykacja
Na podstawie Caller ID lub
User ID + PIN
Tylko na podstawie Caller ID
Mobile Voice
Connet (wl./wyl.)
Tak
Tak
Redundancja
Funkcja zależna od aktywności
publishera
Pełna Redundancja
W przypadku obydwu tych funkcji system CUCM jest w stanie sprawdzić, z jakiego numeru PSTN inicjowane jest połączenie. Jeżeli numer ten pasuje do numeru ustalonego w „Remote Destination”, CUCM rozpoznaje to i wymaga tylko wprowadzenia PIN’u. Warto zaznaczyć, ze w przypadku funkcji EFA, możliwość jej użycia wymaga wykonania połączenia z telefonu o numerze skonfigurowanym w Remote Destination, natomiast w przypadku MVA może być to jakikolwiek numer telefonu z sieci PSTN.
Warto zwrócić uwagę, ze zarówno w przypadku funkcji mobile voice connect jak i
MVA/EFA istniej możliwość realizacji tzw.
„mid-call features”. Użytkownik inicjujący
połączenie z poziomu telefonu PSTN, może
wywołać pewne funkcje CUCM (transfer/
hold/itp.) za pomocą kodów DTMF. Funkcjonalność ta jest możliwa do zrealizowania, ponieważ konfiguracja tych usług zakłada, ze rozmowa jest „zakotwiczona” na
korporacyjnym gateway’u PSTN.
Przykładowe funkcje oraz sposób ich wywołania przedstawia poniższa tabelka:
Domyslny
Enterprise Feature
Access Codes
Funkcja
Single Enterprise VoiceMail Box
System CUCM umożliwia realizacje
funkcjonalności jednej skrzynki głosowej dla abonenta. W przypadku,
gdy zdalna lokalizacja jest np. telefon GSM, użytkownik chciałby aby
wszystkie wiadomości głosowe zapisywane były w korporacyjnym systemie telefonicznym, zamiast w skrzynce dostępnej z poziomu telefonu
GSM.
Funkcja ta jest możliwa do zrealizowania poprzez odpowiednia modyfikacje
parametrów (timer’ów) dostępnych z
poziomu CUCM.
ƒ Answer To Soon
ƒ Answer To Late
ƒ Forward-No-Answer
ToD Acess List
W najnowszej wersji systemu CUCM,
istnieje możliwość użycia mechanizmu
ToD (Time of Day Routing) do kontroli na Access Listami, kontrolującymi dostęp do poszczególnych profili użytkownika mobilnego.
Firma Cisco dostarcza klienta Nokia Call
Connect w ramach programu SolutionPlus.
Telefon rejestruje się w systemie CUCM,
jako urządzenie SCCP (typ Nokia S60), pobierając przy tym 6 punktów DLU.
Telefon może używać prawie całej
gamy funkcji dostępnej dla tradycyjnych telefonów IP SCCP, w tym:
ƒ Basic Call Features
ƒ In-Call Features
ƒ Automatic Registration
ƒ Hold&Resume
*81
*81
Exclusive Hold
*82
*82
Resume
*83
*83
Transfer
*84
1. *82 (Exclusive Hold)
2. Wykonaj nowe połączenie na numer Enterprise Access”DID
3. Po połączeniu podaj: <PIN_number> # *84
#<Transfer_Target/DN> #
4. Po odpowiedzi wprowadź: *84
*85
Mobilność oraz integracja klientów
GSM (Nokia)
Firma Cisco Systems proponuje również rozwiązanie, Klientom korzystającym na co dzień z telefonów biznesowych Nokia z serii „E”. Telefony te wyposażone są w dwa radia - jedno GSM
drugie działające w korporacyjnej sieci
bezprzewodowej WLAN.
Sekwencja klawiszy
Hold
Conference
Opisane wyżej funkcjonalności maja
również pewne ograniczenia:
ƒ Numerem „Remote Destination”
moze byc:
‚ Telefonem GSM/PSTN,
‚ Innym telefonem IP, osiągalnym za
pomocą trunku ICT),
ƒ Mobility (MVA/EFA/Mobile Voice
Connect) wspierane jest tylko na
traktach PRI.
ƒ DTMF musi być przesyłany w trybie
out-of-band.
ƒ Prezentacja numeru - blokowanie
połączeń z numerem innym niż przyznany przez operatora dla danego łącza.
ƒ Większa utylizacja gateway PSTNdla każdego połączenia korzystającego z Mobility, musimy użyć minimum dwie szczeliny DS0.
1. Wprowadz: *82 (Exclusive Hold)
2. Wykonaj nowe polaczenie na numer Enterprise Access”DID
3. Po polaczeniu wprowadz: <PIN_number> # *85
#<Conference_Target/DN> #
4. Po odpowiedzi wprowadz:*85
ƒ Make & Receive Calls
ƒ Consultastion Call
ƒ Calling Line Presentation & Restriction
ƒ Swap
ƒ Call Reject & Waiting
ƒ Attended & Unattended Transfer
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
80
20 lat SOLIDEX
wych SCCP.
CUMA - nowe podejście do
korporacyjnej komunikacji mobilnej
Ciekawa propozycja w gamie produktowej wersji 7.0 systemu UC wydaje się
być produkt Cisco Unified Mobility Advantage Server oraz klient Cisco Unified Mobile Communicator.
Oprogramowanie jest rozwinięciem
wersji 3.x, wprowadza jednak dużą
ilość usprawnień, które czynią ten produkt interesującą propozycją dla klientów korporacyjnych, korzystających na
co dzień z systemów telefonii IP Cisco.
Klient uruchamiając aplikację na swoim
telefonie lub komunikatorze musi podać swoje hasło (LDAP). Następnie zestawiane jest połączenie SSL do urządzenia ASA (TLS Proxy). Sesja nawiązywana
jest poprzez siec MDN (Mobile Data Network). Podczas połączenia używany jest
specjalny protokół MMP (Mobile Multiplexing Protocol), który jest enkapsulowany w standardowe pakiety protokołu
SSL. Po pomyślnym nawiązaniu połączenia użytkownik jest autentykowany podanym wcześniej hasłem, wykorzystywanym również w celu dostępu do innych systemów komunikacyjnych, zintegrowanych z CUMA (np. MS Exchange).
Rys.2 Schemat działania funkcji MVA
Rys. 3 Schemat działania funkcji EFA
ƒƒ Call Voice Mail
ƒƒ Multi-Party Conference
ƒƒ Short Number Dialing
ƒƒ Call Park
ƒƒ End Active Call
ƒƒ Group Call Pickup
ƒƒ Message Waiting Indicator
ƒƒ DTMF Tone
Rozwiązanie to jest ciekawa propozycja dla Klientów, często zmieniających
swoje położenie wewnątrz organizacji.
Na szczególna uwagę zasługuje szcze-
gólna łatwość nawiązania połączenia
za pomocą tego klienta. Sama aplikacja
nie jest „nakładka” lub tez emulacja telefonu IP na telefonie Nokia. Klient ten
instaluje się wewnętrznie w telefonie.
Połączenia wykonywane są w ten sam
sposób jak klasyczne połączenia GSM
(zmienia się tylko typ połączenia, na
połączenie internetowe).
Kluczowa zaleta rozwiązania jest możliwość wykonywania połączeń zarówno poprzez siec WLAN jak i GSM z jednego urządzenia w tym samym czasie.
Jednocześnie telefon rejestruje się jako
urządzenie SCCP, co pozwala użytkownikowi na wykorzystanie standardo-
Zaznaczyć należy, ze komunikator nie
używa kanału danych do przekazywania ruchu głosowego (wyjątkiem jest
tylko pobranie z serwera Unity wiadomości głosowej, zakodowanie jej i odsłuchanie na telefonie lub komunikatorze) tylko do sygnalizacji i przekazywania danych o połączeniach/presence/
konferencjach.
Wersja 7.0 komunikatora CUMC, jak i
systemu CUMA, wprowadza również
kilka usprawnień, takich jak:
ƒƒ globalne wsparcie dla operatorów
komórkowych (brak potrzeby certyfikacji dla operatorów - wersja 3.x),
ƒƒ wsparcie dla systemu Microsoft Windows Mobile v6.1,
ƒƒ funkcjonalność Dial via Office,
ƒƒ wsparcie dla Presence,
ƒƒ wsparcie dla edycji stanu funkcji Mobile Voice Connect,
© SOLIDEX, 2010
81
rencjach programu MeetingPlace
(wsparcie dla opcji click-to-call),
ƒƒ wykonanie połączenia do abonenta zewnętrznego za pomocą funkcji
Dial via Office,
ƒƒ wysyłanie wiadomości tekstowych pomiędzy użytkownikami mobilnymi (za
pośrednictwem połączenia poprzez
GPRS/UMTS nawiązanego poprzez ASA.
Rys. 4 Architektura rozwiązania
Rys. 5 Architektura systemu
ƒƒ instalacja typu Appliance,
ƒƒ wsparcie dla serwera MCS-7825 od
wersji 7.0(2).
Klient Cisco Unified Mobile Communicator dostępny jest na komunikatory oraz
telefony pracujące pod kontrola następujących systemów operacyjnych:
ƒƒ Microsoft Windows Mobile 6.0,
ƒƒ Symbian,
ƒƒ Blackberry RIM.
Dokładna lista wspieranych urządzeń
podlega ciągłemu poszerzaniu, dlatego
w celu sprawdzenia należy zawsze zwe-
ryfikować możliwość współpracy klienta z określonym modelem telefonu.
Użytkownik z poziomu telefonu komórkowego obsługuje aplikację, która pozwala na realizacje następujących funkcji:
ƒƒ sprawdzenie statusu Presence innych
użytkowników systemu, w tym klasycznych użytkowników biurkowych,
ƒƒ sprawdzenie statusu połączeń odebranych/wybieranych numerów itp.,
ƒƒ sprawdzenie i odtworzenie wybranej
wiadomości zapisanej w systemie Cisco Unity,
ƒƒ dostęp do powiadomień o konfe-
Bardzo ciekawa funkcja dostępna w
wersji 7.0 systemu jest Dial via Office. Funkcja ta pozwala użytkownikowi mobilnemu korzystającemu z klienta CUMC na wykonanie połączenia z
abonentem zewnętrznym za pomocą
mechanizmy tzw. „reverse call-back”.
Scenariusz użycia funkcji Dial via Office
przedstawia sie nastepujaco:
1. Użytkownik mobilny ma zamiar wykonać połączenie pod numer zewnętrzny dostępny poprzez PSTN.
2. Informacja o tym fakcie przekazywana
jest poprzez polaczenie GPRS/UMTS
do serwera CUMA (MMP over SSL).
3. CUMA Server przekazuje wywołanie
SIP Invite do serwera CUCM poprzez
SIP Trunk.
4. CUCM inicjuje połączenie Call-Back
do użytkownika komunikatora CUMC
poprzez GSM/PSTN.
5. Klient CUMC automatycznie odpowiada na połączenie.
6. CUCM automatycznie wykonuje połączenie do abonenta zewnętrznego.
7. Połączenia łączone są ze sobą za pomocą gateway’a korporacyjnego.
8. Klient CUMC nawiązuje połączenie z
abonentem zewnętrznym.
Ciekawa możliwością funkcji Dial via Office jest możliwość zdefiniowania innego numeru, na który ma zostać wykonane połączenie. Możemy wiec zainicjować połączenie z komórki a nasz korporacyjny serwer CUCM zadzwoni np.
na nasz telefon domowy i zestawi połączenie z innym abonentem Zachowanie
funkcji Dial via Office jest w pełni konfigurowalne. Można ustawić domyślna politykę wykonywania połączeń zewnętrznych (GSM/Dial via Office), możemy również zdefiniować numer na który
zostanie wykonane oddzwonienie.
INTEGRATOR - WYDANIE JUBILEUSZOWE (KWIECIEŃ 2010)
82
Program SOLIDEX
Autoryzowane szkolenia Cisco Systems
ICND1
ICND2
IINS
BCMSN
SWITCH
ISCW
TSHOOT
ONT
BSCI
ROUTE
BGP
MPLS
SNRS
SNAF
SNAA
QoS
CWLMS
CIPT P1
CIPT P2
UCM
Interconnecting Cisco Network Devices Part 1
Interconnecting Cisco Network Devices Part 2
Implementing Cisco IOS Network Security
Building Cisco Multilayer Switched Networks
Implementing Cisco IP Switched Networks
Implementing Secure Converged Wide Area Networks
Troubleshooting and Maintaining Cisco IP Networks
Optimizing Converged Cisco Networks
Building Scalable Cisco Internetworks
Implementing Cisco IP Routing
Configuring BGP on Cisco Routers
Implementing Cisco MPLS
Securing Networks with Cisco Routers and Switches v3.0
Securing Networks with Cisco ASA Fundamentals
Securing Networks with Cisco ASA Advanced
Implementing Cisco Quality of Service
Implementing CiscoWorks LMS
Implementing Cisco Unified Communications Manager Part 1 v6.0
Implementing Cisco Unified Communications Manager Part 2 v6.0
Implementing Cisco Unified Communications Manager v 7.0 Features
Infolinia: 0800 49 55 82
Więcej informacji można uzyskać w serwisie www.SOLIDEX.com.pl, www.cks.SOLIDEX.com.pl
oraz via e-mail: [email protected]
Szkolenia prowadzone są w centrali oraz warszawskim oddziale SOLIDEX:
Kraków Centrala SOLIDEX, ul. Lea 124;
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX,
Złote Tarasy - Lumen, ul. Złota 59

Podobne dokumenty

Integrator Review 3/2008

Integrator Review 3/2008 SMB/SOHO, przez rozwiązania dla rynku Enterprise, po urządzenia dedykowane dla rynku operatorskiego. Jak już wspomniano, systemy bezpieczeństwa Fortinet wyróżnia budowa w  oparciu o  dedykowane ukł...

Bardziej szczegółowo

W numerze między innymi: - Integrator

W numerze między innymi: - Integrator zarządzania w obszarze ICT w kilku obiektach stadionowych w ramach Euro 2012 . To również czas utrzymania i podnoszenia swych kompetencji potwierdzonych lic znymi

Bardziej szczegółowo