Integrator Nr II/2013 (123)
Transkrypt
Integrator Nr II/2013 (123)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Porządek w Sieci 2013 czytaj na str. 4 Nr II/2013 (123) W numerze między innymi: WYDARZENIA: Wiosenna Akcja: „PORZĄDEK w SIECI 2013” NOWOŚCI: Rozwiązania sieci bezprzewodowych Cisco Unified Wireless Network oraz Unified Access TECHNOLOGIE: Check Point ThreatCloud Security Services – bezpieczeństwo z chmury ROZWIĄZANIA: Elastycznie, bezpiecznie, wydajnie – rozwiązanie autorskie Solidex w zakresie udostępniania zasobów sieciowych dla gości ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner J-Partner Elite Check Point Platinum Partner Check Point Collaborative Certified Support Provider Elite Partner Gold Partner Websense Platinum Partner Numer: II/2013 (123) Szanowni Państwo! Już ponad 22 lata łączymy ludzi, integrujemy standardy, przychodzimy z pomocą wszystkim tym, którzy potrzebują profesjonalnego wsparcia przy projektowaniu, budowie oraz utrzymaniu systemów sieciowych dowolnej skali i złożoności. Wieloletnie doświadczenie pozwala nam świadczyć usługi na najwyższym poziomie. Ponieważ chcemy dzielić się naszą wiedzą ekspercką, co kwartał oddajemy w Państwa ręce kolejne wydania naszego biuletynu firmowego INTEGRATOR. W najnowszym numerze znajdą Państwo relację z naszej Wiosennej Akcji „Porządek w Sieci 2013” (str. 4), opatrzoną zdjęciami z seminariów i streszczeniami poszczególnych sesji. Zachęcamy do przeczytania ciekawego artykułu na temat kierunków rozwoju sieci, który powstał na podstawie prezentacji uznanej przez uczestników wszystkich seminariów „Porządku w Sieci 2013” za najlepszą (str. 8). Na kolejnych stronach prezentujemy nowości w architekturze MS Lync Server 2013 (str. 20) oraz w rozwiązaniach Cisco dla sieci bezprzewodowych (str. 13). W dziale technologie publikujemy tekst dotyczący Check Point ThreatCloud Security Services (str. 23), powstałych jako odpowiedź na dynamicznie rozwijającą się cyberprzestępczość. Na koniec szczególnie zachęcamy do przeczytania artykułu o najnowszym autorskim rozwiązaniu SOLIDEX w zakresie udostępniania zasobów sieciowych dla gości: SOLID.poli-server (str. 45). Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 6 6 6 6 7 7 8 Wiosenna Akcja: „PORZĄDEK w SIECI 2013” SOLIDEX Przyjacielem Fundacji Anny Dymnej „Mimo Wszystko” SOLIDEX odnowił specjalizację ATP Telepresence Klienci po raz kolejny docenili SOLIDność SOLIDEX najszybciej rosnącym partnerem Websense w regionie Wszystkie autoryzowane szkolenia Cisco w SOLIDEX zwolnione z VAT! Check Point Security Tour 2013 z udziałem SOLIDEX Sieć – jaka, kiedy i po co, czyli dużo tego dobrego NOWOŚCI 13 20 Rozwiązania sieci bezprzewodowych Cisco Unified Wireless Network oraz Unified Access Nowości w architekturze MS Lync Server 2013 Technologie 23 28 32 Check Point ThreatCloud Security Services – bezpieczeństwo z chmury Cisco Digital Media Suite – model integracji z systemem Wideokonferencji BYOD – Cisco ISE mózgiem rozwiązania Rozwiązania 36 42 45 49 F5 iApp – konfiguracja zorientowana na aplikacje Skrypty w Unified Contact Center Express Elastycznie, bezpiecznie, wydajnie – rozwiązanie autorskie Solidex w zakresie udostępniania zasobów sieciowych dla gości Bezpieczeństwo danych z McAfee Endpoint Encryption Biuletyn Informacyjny SOLIDEX® 3 WYDARZENIA Wiosenna Akcja: „PORZĄDEK w SIECI 2013” Za nami już ponad 2 2 lata doświadczeń w integracji sieciowej w Polsce. Wielostronne doświadczenia zdobyte na przestrzeni jednego pokolenia pozwalają na szeroką i jednocześnie precyzyjną identyfikację problemów, jakie może napotkać nasz Klient odpowiedzialny za infrastrukturę sieciową, krwioobieg każdej dzisiejszej organizacji i każdego rozwojowego biznesu czy współczesnego zarządzania. Uczestnicząc przez ponad 20 lat w setkach projektów różnej skali na bazie różnorodnych doświadczeń zauważyliśmy, że warto, a nawet trzeba uporządkować WIEDZĘ... DZIAŁANIA... SIEĆ... niezależnie od jej skali czy przeznaczenia. Zaprosiliśmy zatem naszych Klientów, Sympatyków i Partnerów biznesowych do wspólnych wiosennych aktywności pod hasłem „PORZĄDEK w SIECI 2013” . Nasza akcja obejmowała cykl regionalnych seminariów – prowadzonych kolejno w Poznaniu, Wrocławiu, Warszawie, Gdańsku oraz Krakowie – dni otwarte, w czasie których pomagaliśmy Klientom zidentyfikować problemy i nakreślić drogi dojścia do rozwiązania, oraz specjalne konsultacje z naszymi SOLIDnymi EXpertami. STRESZCZENIA SESJI 4 WIEDZA – problemy do uporządkowania Zagadnienia związane z sieciami komputerowymi mocno ewaluowały od czasu ich powstania ponad ćwierć wieku temu. Rozrost technologiczny oprócz postępu przyniósł nowe wyzwania i nowe problemy przy budowie i codziennym wykorzystywaniu środowisk sieciowych. W celu wprowadzenia łatwiejszej możliwości identyfikacji potencjalnych zagrożeń oraz ułatwienia diagnozy, w jakim obszarze sieć potrzebuje udoskonalenia dobrym pomysłem jest dekompozycja sieci na moduły funkcjonalne odpowiedzialne za pewien całościowy obszar technologiczny bądź użytkowy i przyjrzenie się każdemu takiemu modułowi z osobna. Bazując na ponad dwudziestoletnim doświadczeniu SOLIDEX w budowie rozwiązań sieciowych oraz ich serwisowaniu w trakcie prezentacji wyodrębniliśmy i omówiliśmy następujące moduły: warstwa transportowa, segmentacja sieci, bezpieczeństwo i styk z sieciami zewnętrznymi, utrzymanie i zarządzanie, przechowywanie danych oraz użytkownicy. Integrujemy przyszłość® Numer: II/2013 (123) WIEDZA – porządek w bezpieczeństwie Zabezpieczenie współczesnych sieci stanowi duże wyzwanie. Jest wiele elementów, na które administrator sieci musi zwracać uwagę, a pojawiające się nowe trendy nie tylko mu tego zadania nie ułatwiają, ale wręcz utrudniają. Każdy producent wspomnianych systemów bezpieczeństwa próbuje zaistnieć na rynku przedstawiając swój produkt w jak najlepszym świetle, podkreślając szczególnie cechy, które najlepiej zaimplementował w swoim rozwiązaniu. Jednak to każda osoba odpowiedzialna za dane środowisko sieciowe, indywidualnie musi sobie odpowiedzieć na pytanie, co tak na prawdę chce chronić i co może z tego zrealizować przez systemy, które ma już aktualnie wdrożone. W czasie prezentacji SOLIDny EXpert starał się przybliżyć najważniejsze rozwiązania technologiczne związane z bezpieczeństwem sieciowym stanowiące trzon, bez którego współczesne sieci w praktyce nie mogą efektywnie funkcjonować, a jednocześnie są punktem wyjścia dla instalacji bardziej wyrafinowanych systemów ochrony i zarządzania bezpieczeństwem. WIEDZA – porządek w utrzymaniu Im większa sieć tym trudniej utrzymać jej spójność i uzyskać pełnię wiedzy o jej poszczególnych składowych. Zagadnienia związane z różnymi aspektami zarządzania, nadzoru, ale i zapewnienia dostępności i ciągłości pracy środowisk sieciowych stanowią bardzo ważny element całościowego utrzymania sieci i stabilnego porządku w infrastrukturze. W czasie prezentacji przedstawione zostały działania, jakie trzeba podjąć, żeby utrzymywane środowisko działało stabilnie i wydajnie, ale także po to, aby „praca w utrzymaniu” była wydajna i efektywna. Oprócz działań, dużo miejsca poświęcono narzędziom pomagającym pozyskać wiedzę o utrzymywanym środowisku, szybko reagować na pojawiające się problemy, a także przewidywać problemy w przyszłości i reagować na nie z odpowiednim wyprzedzeniem. DZIAŁANIA – Jak i z czego wybrać dobre i optymalne Powstanie rozwiązania w całości spełniającego potrzeby Klienta powinno być zapewnione przez optymalne, kompleksowe działania dotyczące całościowego prowadzenia projektu związanego z budową danego rozwiązania: od fazy analizy potrzeb i genezy wykreowania projektu, aż po udokumentowanie finalnie powstałego rozwiązania i przeszkolenie użytkowników. Głównym celem prezentacji było przedstawienie wzorcowego modelu prowadzenia projektu IT z punktu widzenia doświadczonego integratora, jakim jest SOLIDEX. Wspominany proces podzielono na sześć etapów (geneza powstania projektu, dobór rozwiązania, testy pilotażowe, oferta, realizacja, opieka powdrożeniowa), które zostały szczegółowo omówione przez SOLIDnego EXperta. SIEĆ – Jaka, kiedy i po co czyli dużo tego dobrego W ramach ostatniej prezentacji przedstawiliśmy analizę technologii budowy sieci i tego, co dookoła nich się działo w perspektywie czasu, podejmując dodatkowo próbę przewidzenia tego, co może nas czekać w przyszłości. Nie ograniczyliśmy się jednak do suchych faktów, ilustrując prezentację licznymi praktycznymi przykładami. Ponieważ właśnie ta prezentacja wzbudziła Państwa największe zainteresowanie, na kolejnych stronach Integratora publikujemy artykuł powstały na jej podstawie. Zapraszamy do lektury! Biuletyn Informacyjny SOLIDEX® 5 WYDARZENIA SOLIDEX Przyjacielem Fundacji Anny Dymnej „Mimo Wszystko” SOLIDEX od lat jest zaangażowany we współpracę z Fundacją Anny Dymnej „Mimo Wszystko”. Wspólnie zorganizowaliśmy wiele przedsięwzięć m.in. wieczór „SOLIDEX Mimo Wszystko” z okazji 18–lecia Firmy czy akcję charytatywną na rzecz Fundacji w trakcie „Powrotu do Europy ... z SOLIDEX”, by wspomnieć tylko te najważniejsze. SOLIDEX kilkakrotnie udzielił wsparcia różnym inicjatywom Fundacji, np.: Festiwalowi Zaczarowanej Piosenki im. Marka Grechuty. By podkreślić zaangażowanie oraz trwającą już blisko 10 lat współpracę między SOLIDEX a Fundacją, pod koniec ubiegłego roku Fundacja Anny Dymnej „Mimo Wszystko” przyznała SOLIDEX honorowy tytuł Przyjaciela. Dziękujemy serdecznie za zaufanie i liczymy na kolejne lata dalszej owocnej współpracy! SOLIDEX odnowił specjalizację ATP Telepresence W ostatnim okresie SOLIDEX odnowił specjalizację Cisco ATP TelePresence związaną z rozwiązaniami wideo. Także w tym wypadku wiązało się to z ponownym spełnieniem szeregu szczegółowych wymagań technicznych i sprzedażowych w zakresie sprzęt owym ora z z potwierdzeniem wysokich kwalifikacji merytorycznych SOLIDnych EXpertów w zakresie sprzedaży oraz instalacji produktów, a także obsługi Klienta. Klienci po raz kolejny docenili SOLIDność Z prawdziwą satysfakcją dzielimy się informacją, że w styczniu 2013 roku SOLIDEX po raz kolejny został wyróżniony tytułem Cisco Channel Customer Satisfaction Excellence, przyznawanym po przeprowadzeniu badań satysfakcji klienta Cisco Cisco Channel Customer Satisfaction, które oceniają m.in.: poziom zadowolenia klienta z partnera oferującego rozwiązania Cisco. Kwestionariusze ankiet zawierają szereg szczegółowych pytań pozwalających Klientowi wyrazić swoją ocenę pracy partnera w danym kwartale w niemalże każdym z możliwych zakresów. Pojawiają się w niej pytania o produkty, o sposób świadczenia pomocy przedsprzedażowej, czy zadowolenie z serwisu. W każdej z tych kategorii SOLIDEX osiągnął niezwykle wysoki poziom wskaźników. Oznacza to, że SOLIDE X niezmiennie jest obdarzany szczególnym zaufaniem swoich Klientów. Dziękujemy za okazane zaufanie i zapraszamy gorąco do dalszego korzystania z usług SOLIDnych EXpertów! SOLIDEX najszybciej rosnącym partnerem Websense w regionie Podczas corocznej konferencji regionu EMEA mającej miejsce na początku kwietnia 2013r. w Paryżu, firma Websense, będąca światowym liderem w dziedzinie ochrony organizacji przed cyberatakami i kradzieżą danych, dokonała podsumowania wyników ubiegłego roku i ogłosiła zwycięzców 6 w kluczowych kategoriach, przyznając nagrody EMEA 2012 Partner Awards. Z pr z yjemno ś c ią infor mujemy, że SOLIDEX jako jedyna polska firma znalazł się wśród wyróżnionych i w uznaniu osiągniętych wyników oraz swojego zaangażowania w promowanie i sprzedaż produktów Websense, Integrujemy przyszłość® został nagrodzony tytułem Najszybciej Rosnącego Partnera w całym regionie. Podkreślając z dumą uznanie dla naszych umiejętności oraz kompetencji w promocji i sprzedaży rozwiązań systemów bezpieczeństwa zapraszamy do kontaktu z naszymi SOLIDnymi EXpertami! Numer: II/2013 (123) Wszystkie autoryzowane szkolenia Cisco w SOLIDEX zwolnione z VAT! Z niekłamaną satysfakcją informujemy, że dzięki spełnieniu szeregu wymagań dotyczących zawartości i jakości prowadzonych kursów, kwalifikacji kadry, opracowywania materiałów metodyczno–dydaktycznych oraz wyposażenia placówki, SOLIDEX uzyskał akredytację na wszystkie szkolenia Cisco prowadzone w swoim Autoryzowanym Centrum Szkoleniowym. Tym samym rozszerzona została dotychczas posiadana akredytacja obejmując a wybrane szkolenia. Od tego momentu wszystkie autoryzowane szkolenia Cisco oferowane przez SOLIDEX będą zwolnione z podatku VAT. Co ważne, akredytacja dotyczy nie tylko szkoleń Cisco obecnie znajdujących się w ofercie, ale również tych, które mogą zostać do niej dodane w przyszłości. Przyznanie akredytacji świadczy o docenieniu wysokiej jakości merytorycznej i formalnej organizacji szkoleń realizowanych przez Autoryzowane Centrum Szkoleniowe SOLIDEX przez niezależne grono fachowców. Akredytacja została przyznana przez Małopolskiego Kuratora Oświaty na podstawie art. 68b ust. 1,2,3 ustawy z dnia 7 września 1991 r. o systemie oświaty i §16 Rozporządzenia Ministra Edukacji Narodowej i Sportu z dn. 20 grudnia 2003 r. w sprawie akredytacji placówek i ośrodków prowadzących kształcenie ustawiczne w formach pozaszkolnych. A ktualna lista autoryzowanych szkoleń Cisco dostępnych w ofercie SOLIDEX znajduje się na stronie: http://www.solidex.com.pl/oferta/ autoryzowane–szkolenia–cisco Zapraszamy Państwa do rejestracji na kolejne szkolenia! Check Point Security Tour 2013 z udziałem SOLIDEX Dnia 8 maja 2013, w warszawskim hotelu Mariott odbyła się konferencja Check Point Security Tour 2013, której SOLIDEX, jedyny Platynowy Partner firmy Check Point w Polsce, był jednym z głównych sponsorów. Na konferencji omówione zostały najnowsze technologie i rozwiązania zwią zane z najgorętszymi problemami w zakresie bezpie czeństwa internetowego. Firma Check Point przedstawiła swoją koncepcję „Bezpieczeństwa 3D” i sposób, w jaki to rozwiązanie pozwala chronić bezpieczeństwo nowoczesnego środowiska pracy, między innymi zapobiegać wyciekom danych, zapewniać bezpieczeństwo infrastruktury mobilnej, tworzyć bezpieczne sieci oraz optymalizować i chronić punkty końcowe. W czasie swojej prezentacji SOLIDEX przedstawił zagadnienia związane z ochroną danych w kontekście zapewnienia ich poufności oraz wysokiej dostępności. Skupił się na przedstawieniu aktualnych problemów w tej dziedzinie od strony funkcjonowania biznesu oraz administracji, a także systemów bezpieczeństwa, które adresują te zagadnienia. Omówione z o s t a ł y me c ha ni z my z a imple mentowane we wspó łc zesnych rozwiązaniach bezpieczeństwa Check Point DDoS Protector oraz DLP. Przez cały czas trwania konferencji SOLIDni EXperci byli do Państwa Biuletyn Informacyjny SOLIDEX® dyspoz yc ji na nasz ym st oisku, chętnie odpowiadali na Państwa pytania związane z szeroko pojętym bezpieczeństwem. Dziękujemy za Państwa zainteresowanie i serdecznie zapraszamy do dalszego kontaktu, w szczególności udziału w naszych szkoleniach, seminariach oraz warsztatach organizowanych na terenie Tęczowego Biurowca w Krakowie oraz w Centrum Kompet enc yjno -Szkoleniowym zlokalizowanym w naszym oddziale w Warszawie w Złotych Tarasach. 7 WYDARZENIA Sieć – jaka, kiedy i po co, czyli dużo tego dobrego Patrząc przez pryzmat osi czasu technologie budowy sieci i to, co dookoła nich się dzieje mocno zmieniały się przez ponad ćwierćwiecze funkcjonowaniana rynku. Na bazie wybranych zagadnień przeanalizujemy ich istotność wczoraj, dziś oraz w dającej się przewidzieć przyszłości, ilustrując opis praktycznymi przykładami. Wdra ż anie nowych technologii to ZMIANY. Bardzo rzadko mamy dziś do czynienia z sytuacją, kiedy budujemy coś od zera – dodawanie nowych aplikacji, usług, lokalizacji wymaga integracji z zastanym środowiskiem. Nawet jeśli mamy do czynienia z nowym budynkiem, to oczywiście L AN/ WL AN (jak wskazuje „L” jak „local” w nazwach) tworzymy dowolnie, ale cały czas musimy połączyć się z tym, co już istnieje w innych miejscach. Ponadto sieć jest współdzieloną infrastrukturą, która musi działać w sposób niezmieniony dla „starych” aplikacji i ich użytkowników, których zmiana z reguły nie interesuje. Sukces zmiany wymaga kontroli. Im mniejszy „kawałek świata” musimy skontrolować, tym większa szansa, że zmiana się powiedzie. Zmiany musimy adresować lokalnie. Jeśli takie nie są, musimy je na takie podzielić. Dekompozycja jest podstawą planowania zmian, przy czym może być r ealizowana wielowymiar owo. Moż emy mówić na pr z yk ł ad 8 o dekompozycji geograficznej (każdy budynek jest osobny), ewentualnie o takiej, jak proponuje model OSI (zmiany w warstwie drugiej powinny być niewidoczne dla warstwy trzeciej), itd. Podchodząc do wdrażania nowych technologii jako zmian, możemy skorzystać z koncepcji wypracowanych przez lata w tym obszarze. Zarządzanie zmianami w sieciach, czy szerzej w IT jest adresowane przez wiele firm, zarówno dostawców rozwiązań sieciowych, jak i organizacji propagujących dobre praktyki zarządzania bezpieczeństwem. Solidex swoją metodykę wdrażania zmian opiera głównie na propozycji ISC2, czyli organizacji przyznającej certyfikaty CISSP. Nie oznacza to, że jest ona najlepsza z istniejących, ale lata doświadc zeń doprowadził y nas do przekonania, że jest ona najbardziej dostosowana do wymogów środowisk, które spotykamy na co dzień w biznesie, a z punktu widzenia klienta wdrożenie jakiejkolwiek metodyki zarządzania Integrujemy przyszłość® zmianami jest lepsze, niż nieposiadanie (i realizowanie) żadnej. Klasyczne pytanie, którego zadanie często powoduje refleksję, jak zarządzamy zmianami brzmi: „w którym momencie w naszej firmie uaktualniana jest dokumentacja systemu podlegającego zmianom – przed czy po ich wprowadzeniu?”. Odpowiedź prawidłowa to „przed wprowadzeniem zmian”, natomiast stan faktyczny prawie zawsze jest odmienny. Popatrzmy na kilka dobrze znanych technologii i zastanówmy się, jak dużą zmianę ze sobą niosą dla użytkowników. Zacznijmy od takich, których się „nie boimy”, przykładowo technol o g ie C W DM / D W DM . Ma my na przykład kilka lokalizacji rozrzuconych po mieście, połączonych ś wiat łowodami . Pot r zebujemy większej liczby połączeń niż dostępna ilość światłowodów, więc te technologie będą jak najbardziej wskazane do zastosowania. Jak ocenimy ryzyko wystąpienia dużych problemów z wią z ane z z amianą po ł ą c ze ń Numer: II/2013 (123) punkt-punkt między portami naszych urządzeń na połączenia z wykorzystaniem DWDM? Na bliskie zeru. Zmiana jest „widoczna” co najwyżej dla komunikujących się bezpośrednio portów (jeśli zastosujemy wkładki DWDM do urządzeń), a może być dla nich w ogóle niewidoczna, jeśli zastosujemy zewnętrzne transpondery. Wówczas z punktu widzenia urządzenia obsługującego takie połączenie nie zmienia się zupełnie nic. Rysunek 1 pochodzi z projek tu wdrożenia DWDM dla jednej z firm telekomunikacyjnych. Taki projekt może być dość skomplikowany, można popełnić błędy przy planowaniu implementacji na konkretnym rozwiązaniu producenta, na przykład zapominając, że firma Cisco postanowiła przeskoczyć co piąty kanał z GRID ITU standaryzującego 100 częstotliwości (czyli nie sprzedaje wkładek dla pewnych, jak najbardziej legalnych długości fali), co z kolei wpływa na dobór pasywnych multiplekserów. Ale jeśli już to prawidłowo zaprojektujemy, zestawimy fizycznie i przetestujemy, to sama zmiana polega wyłącznie na przełożeniu kabli (patchcordów), ewentualnie wymianie wkładek światłowodowych w urządzeniach i nikt nie spodziewa się problemów w funkcjonowaniu sieci. Inny przykład zmiany, która w zasadzie nie jest zmianą, to wdrożenie MPLS z punktu widzenia użytkownika końcowego. MPLS potrafi „udawać” w zasadzie każdą inną technologię transmisji danych operującą „pod nim” w niższych warstwach. Czy to będą połączenia punkt-punkt Ethernet, PPP, HDLC , ATM, czy to będzie dedykowana sieć routowana, czy to będzie sieć Ethernet punkt-wielopunkt, to użytkownik końcowy kupuje coś, co dobrze zna i z czego korzystał już do tej pory. Zmienia się nazwa na fakturze, zmieniają się (dramatycznie) techniczne szczegóły realizacji tej usługi, ale z punktu widzenia urządzeń będących pod kontrolą użytkownika końcowego nie zmienia się prawie nic. Tak naprawdę nie interesuje nas co operator ma u siebie. Nasze urządzenia w jednej lokalizacji cały czas „sąsiadują się” z naszymi urządzeniami w innej. K ilka lat temu w Polsce modne było „wdrażanie MPLS”, polegające na przechodzeniu ze starych technologii operatora na technologie realizowane właśnie przez MPLS. Zmiana była bezpieczna i między innymi dlatego modna, bo z jednej strony dołączaliśmy się do nowej, lepszej, czy tańszej usługi, a z drugiej nie musieliśmy zmieniać prawie nic, niemalże tak jak w przypadku wdrażania rozwiązania DWDM. Do tej pory szliśmy po równym, więc w końcu czas na schody. Takie technologie jak DWDM czy MPLS skutecznie ukrywają przed użytkownikiem swoją wewnętrzną złożoność. Z technologią taką jak IPSec już tak łatwo nie będzie. IPSec dla zabezpieczenia transmisji w WAN musi zostać jawnie skonfigurowany na urządzeniach, które tym razem są w całości pod naszą jurysdykcją. Po to mamy IPSec, aby nie trzeba było polegać na zewnętrznej f ir mie , w k we s t ii z ac howania poufności naszych danych. Istnieją protokoły i techniki minimalizujące złożoność procesu uruchamiania IPSec (np. Dynamic Multipoint VPN), jednak Rys. 1. Przykładowy projekt wdrożenia DWDM Biuletyn Informacyjny SOLIDEX® 9 WYDARZENIA możliwość, że nazajutrz po wprowadzeniu zmiany przestaną działać bądź pogorszą się usługi dostępne dzień wcześniej, jest jak najbardziej realna. Dodatkowo wchodzimy w nowy świat zagadnień związanych z kryptografią, wzajemną autentykacją, ochroną „sekretów”, zarządzaniem ich cyklem życia. Musimy stać się ekspertami w nowym obszarze. Inny, częsty problem z IPSecem związany jest z tym, że stosuje się go w sieci extranet, czyli dla połączenia z innymi firmami partnerskimi bądź współpracującymi. Oznacza to konieczność uzgodnień „nielokalnych”, dopasowania się do posiadanego sprzętu, wypracowania kompromisu w zakresie konfiguracji i zgodności z lokalnymi politykami bezpieczeństwa. Z reguły najczęściej kończy się to na wdrożeniu najprostszej działającej konfiguracji. O redundancji często zapominamy, ewentualnie każda strona wdraża „lokalne ” mechaniz my typu IP SL A , byle nie musieć uzgadniać ich z partnerem po drugiej stronie. Nawet jeśli po obydwu stronach stoją urządzenia tego samego producenta, to możemy trafić na niezgodność zaimplementowanych protokołów (np. Cisco ASA łączone z routerem tego producenta, dla którego to wdrożenia wstępnie pomyśleliśmy o szyfrowaniu tuneli GRE). Można zaryzykować stwierdzenie, że jeśli po raz pierwszy wdrażamy IPSec dla łączności z firmą zewnętrzną, to najwięcej czasu zajmie dojście do konkluzji, że wdrożona konfiguracja finalna będzie aż tak „uboga”. Popatrzmy teraz na protokół, którego sukces wydaje się najważniejszy dla dalszego rozwoju Internetu. Protokół IPv6, bo o nim mowa, w grudniu 2013 skończy jako standard 18 lat. Odnosimy się do dokumentu RFC1883, czyli nie wizji czy draftu, ale standardu mającego być podstawą implementacji w rzeczywistym świecie. Na dzień dzisiejszy (połowa 2013r.) sytuacja wygląda tak, że RIPE od pół roku nie przydziela już adresów IPv4, adresacja „provider independent” jest w zasadzie niedostępna, a jednak nie widać dookoła wybuchu wdrażania IPv6: •globalna tablica BGP dla IPv4 zawiera około 440 000 prefiksów, natomiast tablica dla IPv6 około 12 000, 10 •czas odpowiedzi na ping od serwerów DNS Google (czyli jednego z najaktywniejszych promotorów IPv6) z lookingglass.tp.pl dla IPv4 to 20ms, liczba hopów to 7, podczas gdy dla IPv6 to 30ms, a liczba hopów to 9. Nawet jeśli nie widzimy już w traceroutach tras „skaczących” w obydwie strony między kontynentami, jak to było jeszcze kilka lat temu, to i tak wchodząc w IPv6 wydajemy pieniądze, a w zamian uzyskujemy „na już” coś gorszego niż to, co mieliśmy do tej pory. Powyższa sytuacja jest dość frustrująca i warto zdać sobie sprawę, że po prostu tak ma być, a wyjaśnia to „równowaga Nasha”. Otóż równowaga Nasha to sytuacja w teorii gier, kiedy każdy z graczy przyjął pewną strategię i żadnemu nie opłaca się jej zmieniać, chyba że zrobią to równocześnie inni. Popatrzmy na tablicę umownych wypłat w grze, w której bierze udział dwóch uczestników (rysunek 2). więcej, na przykład dostawcy „treści” w Internecie, czyli setki, tysiące, miliony podmiotów….? W trochę innym ujęciu: istnieje stan wyjściowy, który nie jest najlepszy, a czasem wręcz po prostu zły oraz stan możliwy, nazwijmy go pożądanym, do którego jednak może nie być ścieżki dojścia, bo jeden z uczestników czasowo (jako pierwszy) musiałby pogorszyć swoją sytuację. Jeśli graczy jest wielu, to osiągnięcie stanu pożądanego wymaga co najmniej chwilowego pogorszenia swojej sytuacji przez znaczną część graczy, bez pewności że pożądany stan końcowy zostanie kiedykolwiek osiągnięty. Niezależnie od powyższego wydaje się, że IPv6 w końcu zaistnieje. W naszej ocenie oprogramowania urządzeń dla transmisji IPv6 „w zasadzie” działają. Będą przez pewien czas problemy z niektórymi rodzajami urządzeń np. load balancerami czy analiza- Gracz 2 nie wdraża IPv6 Gracz 1 nie wdraża IPv6 Gracz 1 wdraża IPv6 Gracz 2 wdraża IPv6 10/4 10/3 9/4 12/6 Rys. 2. Równowaga Nasha dla wdrażania IPv6 D o s t ę pne s t r at e g ie na z wijmy „wdrażam IPv6” oraz „nie wdrażam IPv6”. Każdy na początku ma wdrożone IPv4 i czerpie z tego pewne zyski. Wdrożenie IPv6 jest kosztem, który trzeba ponieść, a który nie daje nam żadnej korzyści (zmniejszenie wypłat dla lewej dolnej i prawej górnej komórki wobec lewej górnej), dopóki drugi gracz nie zrobi tego samego. Dodajmy do tego spostrzeżenie, że nawet jeśli drugi gracz wdroży IPv6, to dla tego pierwszego osiągnięcie korzyści nie jest jego zasługą, ale zasługą konkurencji. Utracony zostaje związek między naszym działaniem a sukcesem. A co jeśli graczy będzie Integrujemy przyszłość® torami ruchu (czyli urządzeniami, które zaglądają w pakiety głębiej niż tylko L3), ale nowe routery i switche nie powinny sprawiać (zbyt dużych) problemów. Wspomniano wcześniej o MPL S z punktu widzenia użytkownika końcowego, a teraz s łów kilka o tym samym protokole, ale z punktu widzenia operatora. Jest on bardziej złożony niż IPSec i można powiedzieć, że pod względem „wielkości” znajduje się gdzieś w połowie drogi między nim, a IPv6. Na przykład liczba RFC, w których występują akronimy IPSec, MPLS oraz IPv6 to odpowiednio 93, 221 i 383, czyli liczba dokumentów RFC Numer: II/2013 (123) odnoszących się do MPLS jest przeszło 2 razy większa niż odnoszących się do IPSec, a niespełna 2 razy mniejsza niż liczba RFC odnoszących się do IPv6. Mogłoby się wydawać, że w połowie drogi między niekoniecznie lubianym IPSecem, a nie wiadomo jak rokującym IPv6 nie ma miejsca na protokół, który odniósłby sukces. A jednak taki istnieje. Prawie wszyscy dostawcy łączy i usług ISP realizują swoje usługi z wykorzystaniem MPLS i nie zanosi się, na żadną rewolucję w tym zakresie. Można wskazywać wiele źródeł sukcesu MPLSa, ale w kontekście niniejszego tekstu warto wskazać na następujące: •Nie podlega równowadze Nasha, bo wdraża się go przede wszystkim lokalnie (wewnątrz jednej organizacji) i daje to od razu konkurencyjną przewagę wobec innych operatorów. •Silnie przenika się z IP, czy też wręcz bazuje na IP, dzięki czemu o jego elementach składowych można mówić tak, jak baca opowiadał znajomym o zwierzętach widzianych w Afryce: „...lew to taki koń, tylko z większą grzywą...”. Skracając, wszystkie zwierzęta to był taki koń, tylko trochę różniący od konia właściwego. Jednym wyjątkiem był krokodyl, którego baca scharakteryzował następująco: −− Wiecie jak wygląda koń? −− No wiemy. −− No więc krokodyl to coś zupełnie innego niż koń. W świecie MPLS takich krokodyli jest niewiele. Podobieństwa elementów sk ładowych do „konia” moż na rozpatrywać w kontekście psychologicznego mechanizmu – torowania. Otóż torowanie (z angielskiego priming ) to zjawisko polegające na zwiększeniu prawdopodobieństwa wykorzystania określonej kategorii poznawczej w procesach percepcyjnych i myślowych wskutek wielokrotnej ek spoz yc ji bod ź c a z alic z anego do tej kategorii. W trywialnym ujęciu torowanie oznacza, że to co już znane jest dla naszego mózgu lepsze. MPLS jako silnie związany z IP (na które to pojęcie jesteśmy wystawieni od lat) jest w tym ujęciu „lepszy” od czegoś zupełnie nowego. Kolejny składnik sukcesu MPLSa to ten, że świat zbudowany w oparciu o protokoły tej rodziny jest dobrze zarządzalny. Większość jego usług można zrealizować innymi protokołami tunelowania (np. VRFy połączone tunelami GRE dla warstwy 3, tunele L 2 TPv3 dla warstwy 2), jednak wymagana jest wówczas ręczna konfiguracja usługi. MPLS daje odpowiednie automatyzmy, wykorzystujące dobrze znane protokoł y z rodziny TCP/IP, takie jak zmodyfikowane protokoły routingu OSPFi IS-IS, czy przede wszystkim BGP. Powyż ej zaproponowano tok rozumowania, w którym sukces wdrażania nowych technologii jest silnie związany ze skalą zmian jakie ich wdrażanie ze sobą niesie oraz z tym jak bardzo nowe technologie stanowią rozwinięcie starych. Istnieje jednak inny aspekt, na który warto zwrócić uwagę. Otóż nie wszystkie technologie są takiej samej jakości już w chwili ich tworzenia, a jeszcze inne odnoszą porażkę, kiedy próbuje się je implementować w sposób nie do końca rzetelny, mimo że w innych zastosowaniach potencjalnie odniosłyby sukces. Dobrym przyładem jest tutaj omawiany już IPSec. Jeśli wpisać w wyszukiwarkę Google „IPSec evaluation”, to jako pierwszy pojawi się link do dokumentu „A Cryptographic Evaluation of IPSec” February 1999 – Niels Ferguson and Bruce Schneier; Counterpane Internet Security, Inc. Przeczytamy tam: „IPSec okazał się dla nas dużym rozczarowaniem. Biorąc pod uwagę kwalifikacje ludzi, którzy nad nim pracowali oraz poświęcony czas, można było oczekiwać znacznie lepszych rezultatów. Nie jesteśmy w tej opinii osamotnieni. Z dyskusji z różnymi ludźmi biorącymi udział w pracach wynika, że w zasadzie nikt nie jest zadowolony ani z przebiegu samego procesu ani z jego wyników. Wydaje się, że na postać IPSec niekorzystny wpływ miał „komitetowy” tryb jego opracowywania. Niezależnie od powyższego krytycyzmu uważamy IPSec za najlepsze z dostępnych obecnie zabezpieczeń protokołu IP”. Innym przykładem kompromisu, który został uzgodniony, bo pozostawił st rony spor u „równie niez ado wolonymi” jest rozmiar celi ATM. 48 bajtów dla danych (payload) wzięło się z kompromisu między europejskimi, a amerykańskimi firmami telekomunikacyjnymi. Europejczycy dzięki 32-oktetowym celom, a co za tym idzie małym opóźnieniom, mogliby uniknąć konieczności stosowania mechanizmu „echo cancelation”. Amerykanie głosowali za rozmiarem 64-oktety, bo mechanizm „echo cancelation” w kraju o rozmiarze połowy kontynentu i tak był niezbędny, a transmisja danych preferuje większe „paczki”. Jak widać nie zawsze to, co dostajemy do rąk i z pomoc ą c zego mamy budować lepszy świat jest najlepszym możliwym narzędziem. P r z yk ł adem t echnologii, k t óra w pierwszych implement acjach wdrażana była w sposób nie do końca adekwatny do jej możliwości może być Voice over IP. Rozwią zanie to na początku było oferowane jako tani zamiennik dla międzymiastowych czy międzynarodowych linii telefonicznych. Biznesplanom tworzonym z reguły w narzędziu typu Excel często towarzyszył nadmierny optymizm co do efektywności samego protokołu (poziom kompresji, jakość głosu), jak i zachowania „starych operatorów”, którzy postawieni pod ścianą obniżyli swoje stawki. Niezależnie od powyższego w dniu dzisiejszym transmisja głosu po IP działa w szerokim zakresie, rozwija się i ma się dobrze – mamy telefonię i wideokonferencje korzystające z tego protokołu. Do tej pory przyglądaliśmy się technologiom sieciowym i temu, jak rokują w oderwaniu od konkretnych wdrożeń. Teraz zastanówmy się, jaki sposób budowania sieci daje największe szanse na sukces dziś i otwartość na modyf ik ac je w pr z ys z ło ś c i . Zmiany zwykle chcemy wprowadzać „lokalnie”, co z kolei wymaga, aby nasza sieć była modularna. Architektury proponowane przez producentów sprzętu są jak najbardziej modularne, jednak mają pewną wadę – z reguły zawierają bardzo duże, często przewymiarowane ilości urządzeń. Można to sobie tłumaczyć tym, że wielkość firm i wynikająca z tego skala przedsięwzięć w Stanach Zjednoczonych jest zdecydowanie większa niż w Polsce, a te architektury kierowane są przede wszystkim na tamten rynek. Można jednak spojrzeć na to tak że jako na świadomą próbę zastosowania efektu „torowania”. Innymi słowy producenci chcą sprzedać jak najwięcej sprzętu i tworzą architektury dowolnie Biuletyn Informacyjny SOLIDEX® 11 WYDARZENIA r ozbudowane . Mo ż na i t r zeba je upraszczać czyniąc je tańszymi i lepiej zarządzalnymi, ale nie wolno odrzucać ich podstawowego przesłania, którym jest tworzenie rozwiązań modularnych i zastosowanie rozsądnego poziomu nadmiarowości (redundancji). Wydawałoby się, że zachowanie modularności jest łatwe, a jednak tak nie jest. Na przykład w dużych sieciach c zę sto mamy wiele segmentów sieciowych połączonych za pomocą firewalli. Komunikac ja mię dzy pewnymi punktami często przebiega przez kilka z nich. W takiej sytuacji bardzo łatwo utracić kontrolę nad tym, gdzie tak naprawdę realizowana jest filtracja. Gdzie jest wnętrze naszej sieci (segment „inside”), a gdzie świat zewnętrzny (segment „outside” ), co i przed czym chronimy. Drugi problem, to segmenty z wieloma firewallami, czyli potencjalnie wieloma możliwymi ścieżkami dla komunikacji. Zdarza się, że przy wdrożeniu nowych usł ug kierowanie strumieniami danych realizowane jest w oderwaniu od modularności, czy zaplanowanej kiedyś architektury, ale po prostu tak jak jest w danej chwili najłatwiej, żeby jak najszybciej osiągnąć pewien krótkoterminowy cel. Jak widać utrzymanie porządku w sieci wymaga nie tylko dobrze przemyślanego i zrealizowanego wdrożenia, ale także ścisłej kontroli przy wprowadzaniu zmian. A co jeśli nasza sieć uległa nazwijmy to entropii? Zawsze można spróbować przywrócić jej stan uporządkowania. SOLIDEX ma w tym niemałe sukcesy. Największe nasze przedsięwzięcie związane z kontrolą nad kilkuset lokalizacjami miało miejsce w 2002 roku i polegało na migracji sieci WAN czterech banków połączonych w 1996 roku w grupę Pekao S.A.: •Pekao S.A. •Bank Depozytowo-Kredytowy S.A. w Lublinie •Pomorski Bank Kredytowy S. A . w Szczecinie •Powszechny Bank Gospodarczy S.A. w Łodzi K a żdy z w/w banków posiadał już własną działającą sieć rozległą. Sprawne funkcjonowanie utworzonej grupy bankowej wymagało ujednolicenia ich systemów informatycznych. Jednym z kroków do osiągnięcia 12 tego celu było zintegrowanie infrastruktury sieci rozległej. Podjęto decyzję o przebudowie poszczególnych sieci WAN do spójnej docelowej str uk tur y. Migrac ja wymagała częściowego zainstalowania nowych urządzeń, wykorzystania nowych łączy i przeprowadzenia wdrożenia z zachowaniem ciągłości pracy starych systemów i usług. Podstawowym narzędziem przy migracji była baza danych, którą wstępnie wypełniono informacjami zebranymi w ankietach od wyznaczonych ludzi, a tak że danymi z urządzeń, a w dalszych etapach posłużono się nią z jednej strony dla logistyki, a z drugiej dla wygenerowania docelowych konfiguracji urządzeń. A co z nowymi technologiami, które teraz można nazwać „gorącymi”, jak choćby technologie bezprzewodowe? W domu i przedsiębiorstwie WiFi jest, działa i w zasadzie nie spodziewamy się tutaj zaskoczeń. Ciekawiej jest natomiast po stronie operatorów, bo tutaj brak częstotliwości jest silnie odczuwany przez końcowych użytkowników. Tak więc z jednej strony mamy nowe techniki lepszego wykorzystania częstotliwości w dużej skali – czyli LTE, które jest po prostu skazane na sukces, bo nie ma innej drogi. Z drugiej strony lepsze wykorzystanie przestrzeni radiowej możliwe jest przez zmniejszanie rozmiaru komórek. Femtocell to stawianie w biurze mikro (to znaczy femto) stacji bazowych połączonych do operatora przez Internet. Z punktu widzenia uż ytkownika telefonii komórkowej nic się nie zmienia. Ze względu na lokalność komórki, nie ma zagrożenia, że to co dzisiaj działa, z popularyzacją usługi i zwiększeniem liczby użytkowników będzie działać coraz gorzej. Z kolei WiFi offload to dołączanie do sieci komórkowej (dla transmisji danych i ewentualnie głosu) przez zwykłe access-pointy kontrolowane centralnie (wymagania na autentykację i szyfrowanie). Po stronie telefonu przy obsłudze głosu potrzebna jest pewna niestandardowa logika, czyli oprogramowanie od operatora. Niezależnie od powyższego, z punktu widzenia operatora jest t o dodanie nowego bloku do dobrze zdefiniowanych interfejsów. Technicznie i organizacyjnie FemtoCell i WiFi offload są jak najbardziej Integrujemy przyszłość® wdrażalne. Wszystko sprowadza się do odpowiedniego liczenia pieniędzy. Najpierw po stronie operatora, czy w ogóle startować z usługą, później po stronie klienta, czy z niej skorzystać. Zadecyduje oczywiście rynek, ale kierunek wydaje się słuszny, nie zapominajmy jednak lekcji VoIP. BYOD czyli Bring Your Own Device t o mo ż e nie t yle t e c hnolog ia , co praktyka współpracy z firmowym IT z wykorzystaniem prywatnych urządzeń końcowych takich jak smartphony czy tablety. Na pierwszy rzut oka lista pól, nad którymi trzeba zapanować, jest na tyle duża, że z pozoru skazująca przedsięwzięcie z góry na porażkę. Do zaadresowania są kwestie prywatności tego co prywatne, poufności tego co służbowe, kwestie wsparcia dla użytkowników z szerokim wachlarzem sprzętu, kwestie prawne i związane z produktywnością – na przykład ile razy pracownik może powiedzieć, że coś zawalił, bo stracił łączność z „centralą”? Na początku do głowy przychodzi skojarzenie z barbarzyńcami u bram miasta, kiedy się jednak lepiej zastanowić i odrzucić kilka elementów (czyli wymagań końcowego użytkownika), to BYOD robi się całkiem podobne do przysłowiowego wspomnianego już konia. K.P. Inżynier SOLIDEX Numer: II/2013 (123) Rozwiązania sieci bezprzewodowych Cisco Unified Wireless Network oraz Unified Access W ostatnich latach rynek urządzeń przeżywa prawdziwą ekspansję urządzeń mobilnych. Coraz więcej przedsiębiorstw korzysta z aplikacji mobilnych. Jednocześnie coraz częściej w przedsiębiorstwach mamy do czynienia ze zjawiskiem określanym jako Bring Your Own Device (BYOD), czyli użytkowaniem w pracy prywatnych urządzeń mobilnych, takich jak smartfony czy tablety. Niejako w odpowiedzi na tak rozwijające się trendy, w ostatnich kliku miesiącach w ofercie Cisco pojawiło się sporo nowości z obszaru sieci bezprzewodowych. Niniejszy artykuł jest poświęcony nowościom w systemie Cisco Unified Wireless Network (CUWN), nowym funkcjonalnościom w poszczególnych urządzeniach WLAN, nowym kontrolerom, punktom dostępowym, nowym technologiom oraz nowemu, jednolitemu podejściu do projektowania sieci bezprzewodowej: wizji Cisco Unifed Access. Cisco Unified Wireless Network 7.3 Cisco Unified Wireless Network (CUWN) 7.3 pozwala wyjść naprzeciw nowym wyzwaniom w branży IT, takim jak ogromna ekspansja urządzeń mobilnych w przedsiębiorstwach – wynikająca z trendu Bring Your Own Device (BYOD) – wirtualizacja infrastruktury sieciowej, wdrożenia aplikacji mobilnych, które mają kluczowe znaczenie dla przedsiębiorstw wykorzystujących do działania sieć bezprzewodową. CUWN w wersji 7.3 wprowadza kontroler WLAN serii 8500 z wysoce skalowalną liczbą klientów, kontroler wir tualny dla mał ych i średniej wielkości wdrożeń, funkcjonalność wysokiej dostępności High Availability HA, która minimalizuje czas przestoju sieci bezprzewodowej, umożliwiając szybkie przełączenie tysię c y punk tów dost ępowych na kontroler zapasowy. Dostarcza także funkcje istotne z perspektywy dostawców internetowych, takie jak HotSpot 2.0 dla bezpiecznej łączności publicznej oraz Proxy Mobile IPv6 (PMIPv6), zapewniające bezproblemową mobilność między siecią Biuletyn Informacyjny SOLIDEX® komórkową oraz siecią WiFi. Wersja CUWN 7.3 wprowadza także punkty dostępowe drugiej generacji serii Aironet 2600 ze wsparciem dla 802.11n, które umożliwiają uzyskanie teoretycznej przepustowości 450 Mb/s, a także punkty dostępowe zewnętrzne serii Aironet 1550 z interfejsem EPON. High Availbility Funkcja High Availbility w wersji CUWN 7.3 to nowe podejście w zapewnianiu redundancji kontrolera, które poz wala z nac z nie sk r óc ić c z as przestoju sieci w przypadku uszkodzenia kontrolera WLC . W starym podejściu na każdym punkcie dostępowym ustawiany był kontroler P r imar y, S ec ondar y i Ter t iar y . Na rysunku 1 kolorem zielonym 13 NOWOŚCI Rys.1. Redundantna topologia sieci WLAN z dwoma kontrolerami WLC w stanie Active i Standby zaznaczono połączenia fizyczne, natomiast czerwona przerywana linia to połączenia logiczne. Punkty dostępowe zestawiają tylko jeden tunel CAPWAP do WLC, który jest w stanie Active. W nowej architekturze HA jeden WLC jest w stanie Active, a drugi w stanie gotowości Hot Standby, ciągle monitorując stan aktywnego WLC przez Redundant Port RP. W momencie awarii wszystkie AP przełączają się na zapasowy kontroler, a cały proces trwa poniżej jednej sekundy. W sposobie redundancji active/standby występuje jeden adres IP, wspólny dla obu kontrolerów, jedno zarządzanie, synchronizacja obrazu IOS oraz automatyczna synchronizacja konfiguracji. W przypadku awarii kontrolera WLC primary, dzięki funkcjonalno ś c i A P St at ef ull Swit chover (AP SSO), punkty dostępowe przełączają się do kontrolera zapasowego WLC standby, a tunel CAPWAPowy jest cały czas utrzymywany. Funkcjonalność HA jest wspierana na kontrolerach 3850/5500/7500/8500 oraz WiSM-2. WLC 8500 K ont roler 8 5 0 0 jest platfor mą dedykowaną dla rynku dostawców us ł ug int er ne t owyc h , a t ak ż e do dużych wdrożeń typu enterprise. Został on zaprojektowany między innymi w celu obsługi dużej liczby VL AN-ów, wspiera 6000 punktów dostępowych w trybie Local, Bridge i FlexConnect. Obsługuje do 64 000 podłączonych stacji klienckich, a także obsługuje funkcjonalność Hotspot 2.0 (standard 802.11u), co umożliwia Rys.2. Kontroler WLC 8500 14 Integrujemy przyszłość® operatorom rozładowanie ruchu w sieciach mobilnych, poprzez przełączanie klientów z sieci 3G/4G do WiFi. Nowością w kontrolerze 8500 jest licencja „right to use”, która zostaje aktywowana po zaakceptowaniu End User License Agreement. Ma to pomóc w rozwiązywaniu problemów z licencjonowaniem w sytuacji dokładania nowych punk tów dost ępowych i wg r ywa niu nowyc h lic e nc ji na kontroler. Kontroler wirtualny Do wersji CUWN 7.3 oprogramowanie kontrolera działało tylko na dedykowanej platformie sprzętowej Cisco. Cisco Virtual Wireless Controller (rysunek 3) to kontroler bezprzewodowy działający w formie maszyny wirtualnej uruchomianej w środowisku ESX/ESXi, który umożliwia elastyczne i kosztowo efektywne wdrożenie sieci bezprzewodowej dla małych i średnich przedsiębiorstw. Kontroler umożliwia konf ig ur owa nie i z a r z ą d z a nie siecią bezprzewodową zawierającą do 2 0 0 punk tów dost ępowych i 3000 stacji klienckich. Urządzenie jest przeznaczone do pracy z punktami dostępowymi w trybie FlexConnect z centralnym oraz lokalnym przełączaniem ruchu. Kontroler wirtualny wspiera bezpieczny dostęp gościnny, Numer: II/2013 (123) Rys.3. Kontroler wirtualny wykrywanie obcych urządzeń oraz lokalne przełączenie w oddziale ruchu bezprzewodowego typu głos i video. Po zainstalowaniu kontrolera z dostarczonego wzorca maszyny wirtualnej, mamy możliwość aktywacji licencji czasowej na 60 dni i 200 punktów dostępowych. Aironet 2600 oraz zasięg, dzięki formowaniu wiązki radiowej do urządzenia klienckiego. Punkty dostępowe Cisco Aironet 2600 są przeznaczone do pracy wewnątrz budynku i są dostępne w wersji z antenami wbudowanymi oraz zewnętrznymi. Zoptymalizowana dla urządzeń konsumenckich seria Aironet 2600 jest przeznaczona dla użytkowników, którzy potrzebują wydajnej sieci bezprzewodowej, ale nie planują w przyszłości wdrożenia standardu 802.11ac. Cisco Aironet 2600 (rysunek 4) jest punktem dostępowym pracującym w standardzie 802.11n, obsługującym technologię 3x4 MIMO, co odpowiada Cisco Unifed Wireless trzem antenom nadawczym i czterem Network 7.4 antenom odbiorczym. Urządzenie obsługuje trzy strumienie przestrzenne, W Cisco Unifed Wireless Network 7.4 co umożliwia uzyskanie teoretycznej zostało wprowadzonych sporo nowych przepustowości 450MB/s. Punkt i ciekawych funkcjonalności takich jak: dostępowy 2600 obsługuje nowe • Analiza i kontrola aplikacji w sieci technologie, takie jak C lean A ir, bezprzewodowej Application Visibility ClientLink 2 .0 oraz VideoStream. and Control (AVC); AVC to nowy Technologia ClientLink 2.0 poprawia mechanizm kontroli aplikacji i jakości przepustowość kanału radiowego usług świadczonych na urządzeniach Rys. 4. Punkty dostępowe serii Aironet 2600 Cisco, korzystający z NBAR2, Netflow czy QoS; Pozwala on na wgląd w ruch aplikacyjny w sieci oraz daje nowe możliwości kontroli usług i raportowania; •usługi katalogowe Bonjour Directory Services dla urządzeń Apple w całej domenie L3; •wsparcie dla platformy lokalizacyjnej opar tej na sieciach bezprzewodowych Cisco Connected Mobile Experience; •wsparcie dla modułów do Aironet 3600 do realizacji funkcji bezpiec zeństwa ora z analiz y pasma radiowego; •obsługę nowych punktów dostępowych serii Aironet 1600, które umożliwiają uzyskanie teoretycznej przepustowości 300Mb/s. Aironet 1600 Cisco Aironet 1600 (rysunek 5) to nowy punkt dostępowy klasy korporacyjnej, zaprojektowany w celu zapewnienia łączności bezprzewodowej dla małych i średnich przedsiębiorstw. Punkt dostępowy 16 00 uż ywa MIMO 3x3:2, co daje trzy anteny nadawcze, trzy anteny odbiorcze, obsługę dwóch strumieni przestrzennych, dzięki czemu uzyskuje się teoretyczną przepustowość 300MB/s. Nowy punkt dostępowy zapewnia zatem sześć razy większą przepustowość od istniejących wcześniej punktów dostępowych w standardzie 802.11a/g oraz zapewnia zaawansowane funkcje, takie jak CleanAir Express dla lepszej analizy pasma radiowego oraz Clientlink 2.0 niezbędnej w optymalizacji pasma w kierunku do urządzeń klienckich. Punkt dostępowy 1600 obok modeli Rys.5. Punkty dostępowe serii 1600 Biuletyn Informacyjny SOLIDEX® 15 NOWOŚCI P unkty dostępowe wewnętrzne 802.11n G2 Seria 600 Seria 1600 Seria 2600 Seria 3600 Zastosowanie Zdalni pracownicy Małe i średnie firmy Małe, średnie i duże firmy Średnie i duże firmy Typ lokalizacji Dom Biuro, mały magazyn Biuro, średniej wielkości magazyn Duże biuro, średni i duży magazyn Dane konsumenckie Elastyczność wdrożenia Wydajność klasy korporacyjnej Głos/video/multimedia Dowolne urządzenie/zoptymalizowany pod BYOD Skalowalny Ograniczenie interferencji RF Duża gęstość stacji klienckich Video HD/VDI Wsparcie dla 802.11ac Kompleksowe bezpieczeństwo - - - TAK, moduł 802.11ac lub moduł WSSI (Wireless Security and Spectrum Intelligence) Profil wydajności aplikacji (Application performance profile) Modularność Zatłoczone obszary - - TAK TAK Dual (2.4GHz oraz 5.0GHz) Dual (2.4GHz oraz 5.0GHz) Dual (2.4GHz oraz 5.0GHz) Dual (2.4GHz oraz 5.0GHz) Max przepustowość per radio 300 Mbps 300 Mbps 450 Mbps 1.3 Gbps (z modułem 802.11ac module) Parametry MIMO: liczba strumieni przestrzennych 2x3:2 3x3:2 3x4:3 802.11n: 4 x 4:3 802.11ac: 3 x 3:3 15 / Brak wsparcia dla ClientLink 128/32 200/128 802.11n: 4 x 4:3 200/128 Możliwość pracy w trybie autonomicznym - TAK TAK TAK ClientLink 2.0 - TAK TAK TAK CleanAir - CleanAir Express TAK TAK VideoStream - TAK TAK TAK BandSelect - TAK TAK TAK Rogue access point detection - TAK TAK TAK - TAK TAK TAK TAK TAK TAK TAK Obsługiwane pasma Liczba klientów / liczba klientów dla ClientLink Adaptive wIPS OfficeExtend (tylko modele ze zintegrowaną anteną) FlexConnect - TAK TAK TAK 100 do 240 VAC, 50-60 Hz 802.3af, AC adapter 802.3af, AC adapter 802.11n: 802.3af, AC adapter 802.11ac: Enhanced PoE, 802.3at or Universal PoE (UPoE) 0 to 40°C 1600i: 0 to 40°C 1600e: – 20 to 50°C 2600i: 0 to 40°C 2600e: – 20 to 55°C 3600i: 0 to 40°C 3600e: 0 to 55°C Anteny Wewnętrzne 1600i: Wewnętrzne 1600e: Zewnętrzne 2600i: Wewnętrzne 2600e: Zewnętrzne 3600i: Wewnętrzne 3600e: Zewnętrzne Standardy WiFi 802.11a/b/g/n 802.11a/b/g/n 802.11a/b/g/n 802.11a/b/g/n/ac Zasilanie Zakres temperatur Tabela 1. Porównanie wewnętrznych punktów dostępowych 802.11n drugiej generacji Aironet 600, 2600 i 3600 stanowi rodzinę punktów dostępowych drugiej generacji do zastosowań wewnątrz budynków wykorzystujących technologię 802.11n. Punkty dostępowe 16 Aironet 600 i Aironet 3600 są w ofercie Cisco już od dłuższego czasu, dlatego nie będą omawiane w tym artykule, zostały one zamieszczone w tabeli nr 1 w celach porównawczych z nowymi Integrujemy przyszłość® seriami Aironet 1600 oraz Aironet 2600. Porównując model Aironet 2600 z Aironet 3600, to 2600 posiada tylko trzy układy nadawcze, 3600 cztery. Cechą wspólną punktów dostępowych Numer: II/2013 (123) serii 1600/2600/3600 jest obsługa anten „dual band”, czyli takich gdzie pojedyncza antena obsługuje oba pasma częstotliwości 2.4GHz i 5GHz. Warto wspomnieć, że w tym roku pojawią się dwa moduły dla punktu dostępowego 3600: moduł realizujący usługi bezpieczeństwa WSSI ( Wireless Security and Spectrum Intelligence) oraz moduł do realizacji połączeń radiowych Gigabit Ethernet w standardzie 802.11ac. Cisco Unified Access Cisco Unified Access (rysunek 6) to nowe, jednolite podeście do projektowania i wdrażania sieci komputerowych w środowisku bezprzewodowym. Jego głównym założeniem jest uproszczenie projektowania sieci poprzez połączenie sieci przewodowych, bezprzewodowych i wirtualnych sieci prywatnych (VPN), w jednolitą sieć „One network”. Dostęp do zasobów w takiej sieci będzie kontrolowany przez wspólną politykę dostępu „One policy” zdefiniowaną na platformie nowej generacji Cisco Identity Services Engine (ISE). Trzeci element w Unifed Access to wspólny system zarządzania „One management”: dla sieci przewodowej i bezprzewodowej opar ty o Cisco Prime. One network, one policy, one management to trzy główne filary, Rys.6. Trzy filary w Cisco Unified Access Rys.7. Odrębna infrastruktura, zarządzanie oraz kontrola polityki dostępu dla sieci przewodowej i bezprzewodowej Biuletyn Informacyjny SOLIDEX® 17 NOWOŚCI Rys.8. Cisco Unified Access: wspólna infrastruktura dostępowa, zarządzanie oraz kontrola polityki dostępu dla sieci przewodowej i bezprzewodowej które tworzą strategię Cisco Unified Access. Obe c nie sie c i be z pr zewodowe s ą budowane jako nak ładka na sieć przewodową (rysunek 7 ), gdzie kontroler WALN oraz system zarządzania stanowią odrębną cześć sieci oraz kontroler WLAN znajduje się w centralnym punkcie sieci, co powoduje, że tunel C APWAP z ruchem bezprzewodowym przebiega przez dwa lub więcej przełączników. W przypadku 100 AP pracujących w standardzie 802.11n (450Mb/s) możemy mieć teoretycznie maksymalny ruch 45Gb/s, zatem jeden kontroler nawet z kilkoma interfejsami 1GE zaczyna być wąskim gardłem w takiej topologii. Cisco Converged Access (rysunek 8) to nowe podejście, którego celem jest integracja dost ępu przewodowego i bezprzewodowego w sieci L AN. Zalety tej integracji to przede wszystkim uzyskanie większej zagregowanej przepustowości dla ruchu z/do sieci bezprzewodowej – co będzie miało duże znaczenie w momencie upowszechnienia się st andardu 802 .11ac – jeden punk t definio wania polityki bezpieczeństwa oraz możliwość zapewnienia odpowiedniego poziomu usług QoS. Nowy przełącznik Catalyst 3850 z funkcjonalnością kontrolera sieci bezprzewodowej 18 oraz kontroler WLAN 5760 to nowe produkty pojawiające się ramach strategii Cisco Converged Access. i bezprzewodowej. Będzie to miało duże znaczenie wraz z upowszechnieniem się standardu 802.11ac dla gigabitowych sieci bezprzewodowych. Nowy Catalyst 3850 z funkcją kontrolera sieci bezprzewo- Nowy kontroler Cisco 5760 dowej Wireless LAN Controller Catalyst 3850 to przełącznik (rysunek 9) z wbudowanym kontrolerem WLAN 40G, który może obsługiwać 50 punktów dostępowych oraz 2 tys. klientów. Jest to pierwszy przełącznik, który umożliwia obsługę sieci przewodowych oraz bezprzewodowych na jednej platformie programowej Cisco IOS XE. W nowym urządzeniu zawarto wiele pionierskich funkcji, takich jak wysoka dostępność w stosie oparta na stateful switchover (SSO), granularny QoS, zaawansowane funkcje bezpieczeństwa oraz Flexible NetFlow. Dzięki połączeniu funkcji przewodowych i bezprzewodowych w jednym urządzeniu możliwe będzie uzyskanie większej zagregowanej przepustowości dla ruchu na styku sieci przewodowej Rys.10. Kontroler WLC 5760 Integrujemy przyszłość® Kontroler WLC 5760 (rysunek 10) jest przeznaczony do budowy wydajnych, gigabit owych siec i bez pr zewo dowych 802.11ac wymagających dużej Rys.9. Przełączniki serii Catalyst 3850 Numer: Numer:II/2013 II/2012 (123) (119) przepustowości, takiej jak aplikacje Podsumowanie mobilne. Kontroler może pracować w nowym konwergentnym, jak Lync jest trybie wieloplatformowy, może również w trybie scentralizowanym. działać zarówno na komputerach Najważniejsze stacjonarnychcechy: Windows i Mac OS, •przepustowość Gbps,Windows posiada jak i Platformach60 Mobile 6 uplików 10GE, Phone, iOS (iPad, iPhone), Android. •wsparcie do 1000 punktów dostęPodstawowy interfejs nie odbiega powych oraz 12 tys. klientów per od wzorcowego okna komunikatora kontroler, internetowego. Rysunek 3 przedstawia •zawansowany QoS, polityki QoS per pionowo zorientowaną listę kontaktów radio, SSID, zeużytkownika, zdjęciami, obok umieszczono status •IPv6 Mobility, i opis, Client w górnej części menu podsta•obsługa technologii Cisco CleanAir, wowych funkcji. Wspomniany pulpit ClientLink 2.0, Videostream, nawigacyjny upraszcza odnajdowanie •skalowalność z roamingiem klientów i używanie typowych funkcji, takich dlaklawiatura 72 000 punktów dostępowych, jak numeryczna, wizualna poczta głosowa, lista kontaktów i lista •wsparcie dla SGT, SGACL, Advanced aktywnych konwersacji. Crypto, Flexible Netflow, downloLync jest bardzo elastyczny, jeśli adable ACL, chodzi o wdrożenia i możliwości •wysoka niez awodno ś ć dzię k i integracji. Możliwa jest również klastrowaniu N+1, agregacji linków integracja programu z istniejącą i zapasowym zasilaczom. telefonią IP, jak na przykład Cisco. Rysunek 2 przedstawia przykładową Podsumowanie: integrację z IP telefonami. Zarówno w koncepcji CUWN, jak Powyższy artykułwizji miałUnified na celuAccess przedrównież w nowej stawienie aplikacji Lync od strony otrzymujemy sporo innowacyjnych użytkownika. Program Lync funkcjonalności, któreMicrosoft umożliwiają 2010 to zanie doskonały klient kier do ujednowyznac nowego unku liconej komunikacji z możliwością w rozwoju oraz nową jakość w budowie obsługi wiadomości błyskawicznych, wydajnych sieci bezprzewodowych. połączeń głosowych oraz spotkań. W zak tualizowanym inter fejsie G.B. użytkownika programu Lync rozmaite Inżynier SOLIDEX narzędzia do komunikacji rozmieszczono w sposób usprawniający ich obsługę. Funkcje konferencji są jeszcze skuteczniejsze dzięki wbudowanej funkcji udostępniania pulpitu i aplikacji, funkcji przekazywania w programie Power Point oraz funkcji kopiowania i wklejania obrazów i innej zawartości. Opracowano na podstawie oficjalnych materiałów producenta. M.G. Inżynier SOLIDEX SOLIDność w każdym działaniu... Biuletyn Informacyjny Informacyjny SOLIDEX® Biuletyn SOLIDEX® 33 19 NOWOŚCI Nowości w architekturze MS Lync Server 2013 Wraz z całą rodziną produktów z serii 2013 Microsoft wprowadził nową wersję swojego rozwiązania zunifikowanej komunikacji: Lync Server 2013. Jest to kontynuacja popularnego i udanego produktu (wersji 2010), który stanowi podstawę komunikacji audio i wideo w wielu przedsiębiorstwach i coraz częściej zastępuje stare centralki PBX. Wersja Lync 2013 wprowadza wiele zmian, zarówno w aplikacji klienckiej, jak i w architekturze serwerowej, dlatego warto przyjrzeć się jej bliżej. Rys. 1. Aplikacja Lync 2013 na różnych urządzeniach 20 Integrujemy przyszłość® Numer: II/2013 (123) Aplikacja Lync 2013 Aplikacja kliencka została napisana pod kątem współpracy z nowym interfejsem Modern UI, znanym z Windows 8. Aplikacja jest prosta w obsłudze i idealnie sprawdza się na ekranach dotykowych, jak również na st andardowych monit orach i klawiaturach. Wsparcie obejmuje urządzenia pracujące pod systemami Windows 7/8, Windows Phone 8, Android oraz iOS (rysunek 1). Dużym ograniczeniem w wersji Lync 2010 był brak wsparcia przesyłania głosu i obrazu wideo w środowisku zwirtualizowanych stacji roboczych (VDI). W Lync 2013 problem ten został rozwiązany dzięki Lync VDI Plug-in, który umożliwia komunikację audio/ video dla cienkich klientów. Ważną zmianą po stronie klienta Lync 2013 jest domyślne wsparcie kodeka wideo w standardzie H.264. Odciąża to serwery Mediation z konieczności transcodingu między kodekami oraz zwiększa możliwości integracji z systemami firm trzecich. Starszy kodek RTVideo jest wykorzystywany tylko w przypadku komunikacji ze starszymi klientami. Dodatkowo zwiększono maksymalną rozdzielczość przesyłanego i odbieranego obrazu do HD 1080p, zarówno dla połączeń dwust ronnych jak i wideokonferencji, co znac ząco wp ł ynę ło na jakoś połączeń wideo. Warto tutaj wspomnieć, iż w przypadku połączeń wideokonferencyjnych na ekranie komunikatora może się pojawić jednocześnie do pięciu strumieni wideo pochodzących od najbardziej aktywnych uczestników. Lync 2013 integruje również funkcjonalność Group Chat z poprzedniej wersji, dla której Group Chat była osobną aplikacją. W obecnej wersji funkcjonalność ta została zastąpiona przez Persistent Chat (rysunek 2). Du ż a z miana zos t a ł a wpr owa dzona do Lync Web App. Aplikacja ta umożliwia, podobnie jak w wersji 2010, dołączenie do konferencji użytkowników spoza firmy oraz tych, którzy nie mają zainstalowanej aplikacji na stacjach końcowych. Po instalacji odpowiedniego pluginu nowa wersja daje możliwość połączenia konferencyjnego audio/wideo z poziomu Rys. 2. Lync 2013 Persistent Chat przeglądarki internetowej. W związku z tym wcześniejsza aplikacja Lync 2010 Attendee przestała być rozwijana i wspierana w Lync Server 2013. Jej funkcjonalność została przeniesiona do Lync Web App. w architekturze Lync Server 2013 jest możliwość zestawiania połączeń logicznych SIP Trunk w stosunku M:N do bram IP-PSTN Gateway. Oznacza to, że do jednej bramy głosowej można zestawić wiele połączeń SIP Trunk Microsoft Lync Server 2013 jest rozwiązaniem bardziej dojrzałym, ulepszonym, łatwiejszym w zarządzaniu i konfiguracji oraz zapewniającym bardzo szeroką funkcjonalność. Jeden produkt integruje szereg niezbędnych narzędzi i aplikacji, takich jak rozmowy audio i wideo, Instant Messaging, Chat Room. Nowe elementy architektury Lync Server 2013 z kilku urządzeń Mediation Server, jak również jeden Mediation Server może mieć zestawionych wiele połączeń W celu ułatwienia wdrożenia i zarzą- z różnymi bramami głosowymi. Dzięki dzania infrastrukturą MS Lync zostały temu sterowanie przesyłaniem głosu również zmodyfikowane poszczególne (call routing) w Lync Server 2013 jest role serwerów odpowiedzialnych bardziej elastyczne. Rozbudowana została funkcjonalność za komunikację (rysunek 3). Ważna zmiana nastąpiła w zakresie roli Chat Room, która w Lync Server 2013 Mediation Server, który jest obecnie nosi nazwę Persistent Chat. Jest to nowa komponentem ka żdego serwera rola serwera w topologii Lync 2013, Front-End. Co za tym idzie oddzielny która umożliwia prowadzenie do 15000 serwer z tą rolą w nowej topologii jednoczesnych chat-grup. Cała konwernie jest wymagany. Wyjątek stanowi sacja danej chat-grupy jest zapisywana jedynie przypadek, gdy konieczne i dostępna dla wszystkich członków jest zestawienie połączenia SIP Trunk grupy, bez względu na obecność osób do operatora internetowej telefonii w chwili prowadzenia czatu. Ta funkcjo(Internet Telephony Service Provider) nalność może z powodzeniem zastąpić stosującego Session Border Controller emailowe grupy dyskusyjne. (SBC) – wówczas osobny serwer z rolą Funkcjonalność do zestawiania federacji Mediation jest wymagany. XMPP (Extensible Messaging and Kolejną istotną zmianą w konfi- Presence Protocol) z systemami firm guracji Mediation Server i ogólnie trzecich została zaimplementowana Biuletyn Informacyjny SOLIDEX® 21 NOWOŚCI Rys. 3. Architektura Lync Server 2013 w rolach Front-End oraz Edge. Nie jest i serwerów SQL, Microsoft przestał już konieczne instalowanie dodatkowej wspierać SQL clustering. Jedynym bramy XMPP, co upraszcza znacznie wspieranym rozwiązaniem po stronie wdrażanie i zarządzanie infrastrukturą. Back-End jest SQL mirroring. Dla obu Natywnie wspierana jest federacja mechanizmów: SQL mirroring i poolze Skype, co więcej wspierane są też -pairing może być zaimplementowana federacje z Google Talk oraz Cisco Jabber. funkcjonalność serwera witness, dzięki Kolejną nowością jest tzw. parowanie której w przypadku awarii serwery puli (pool pairing). Jest to mechanizm przełączą się automatycznie. zaimplementowany w celu uzyskania systemu wysokiej dostępności (High Podsumowanie Availabity). Poszczególne serwery tej samej roli w Lync Server 2013 Microsoft Lync Server 2013 jest rozwiąznajdujące się w różnych data center zaniem bardziej dojrzałym, ulepszonym, mogą być sparowane . Dotyc zy łatwiejszym w zarządzaniu i konfito serwerów Front-End, Director, Edge guracji oraz zapewniającym bardzo i Mediation. W przypadku awarii szeroką funkcjonalność. Jeden produkt jednego serwera, kolejny z puli przejmie integruje szereg niezbędnych narzędzi jego funkcjonalność. Dla roli Back-End i aplikacji, takich jak rozmowy audio 22 Integrujemy przyszłość® i wideo, Instant Messaging, Chat Room. Wszystko to zapewnia sprawną komunikację ze współpracownikami zarówno w obrębie własnej firmy, jak i poza nią. Dzięki wielu zmianom oraz wprowadzonym udoskonaleniom MS Lync 2013 zapewnia jeszcze lepszą integrację z systemami firm trzecich, takich jak Cisco, Audiocodes i Polycom, a wsparcie mobilnej aplikacji klienckiej dla telefonów pracujących pod obsługą systemów Android, iOS oraz Windows Phone 7/8 sprawia, że Lync 2013 odniesie sukces nie mniejszy niż Lync 2010. M.M. Inżynier SOLIDEX Numer: II/2013 (123) Check Point ThreatCloud Security Services – bezpieczeństwo z chmury W ostatnim czasie firma Check Point rozszerzyła portfolio swoich rozwiązań o dwie nowe usługi: Managed Security Service oraz Incident Response. Usługi te, zbiorczo określane mianem ThreatCloud Security Services, stanowią rozwinięcie zaprezentowanego w kwietniu 2012 roku rozwiązaniao nazwie ThreatCloud. Rys. 1. Źrodła informacji sieci ThreatCloud Biuletyn Informacyjny SOLIDEX® ThreatCloud to sieć, która powstała jako odpowiedź na dynamicznie rozwijającą się cyberprzestępczość. Podstawową ideą działania sieci ThreatCloud jest współpraca organizacji oraz wymiana informacji o pojawiających się zagroż eniach siec iowych . G łównym elementem sieci ThreatCloud jest innowac yjny system sensorów rozmieszczonych w różnych punktach na świecie. Zadaniem sensorów jest monitorowanie i analizowanie ruchu sieciowego w czasie rzeczywistym oraz sygnalizowanie pojawiających się w nim zagrożeń, takich jak malware, boty oraz APT (Advanced Persistent Threats). Informacje o pojawiających się atakach uzyskane z sensorów uzupełniane są poprzez dane pochodzące z urządzeń sieciowych (security gateways) zainstalowanych w sieciach klientów firmy Check Point oraz poprzez dane z laboratoriów bezpieczeństwa firmy Check Point (rysunek 1). W efekcie wymiany informacji, ich analizy i korelacji zdarzeń wzrasta skuteczność oraz szybkość wykrywania 23 TECHNOLOGIE ataków. Wykrycie ataku w dowolnym punkcie sieci ThreatCloud pociąga za sobą wygenerowanie aktualizacji zabezpieczeń, która trafia do modułów programowych (Software Blades) na wszystkich pozostałych urządzeniach zainstalowanych w sieciach klientów firmy Check Point, którzy korzystają z usługi. Działanie takie pozwala na podniesienie poziomu bezpieczeństwa sieci, dzięki możliwości uniknięcia zagrożeń (działania prewencyjne) zanim się jeszc ze pojawią lub ograniczenia ich zasięgu i skuteczności. Bazując na rozwiązaniu ThreatCloud oraz wieloletnim doświadczeniu w pracach nad bezpieczeństwem sieciowym, pod koniec 2012 roku firma Check Point wprowadziła do swojej oferty produkt o nazwie ThreatCloud Security Services. Pod w sp omnia n ą na z w ą k r yj ą si ę usługi w ramach których Check Point wspomaga klientów oraz ich zespoł y IT w zakresie zabezpieczania sieci komputerowych przed coraz bardziej wyspecjalizowanymi atakami, a także zapewnia wsparcie w momencie wystąpienia samego ataku. Wśród usług ThreatCloud Security Services wyróżnić można m. in. usługi ThreatCloud Managed Security Service oraz ThreatCloud Incident Response. Usługa ThreatCloud Managed Security Service Usługa ThreatCloud Managed Security Service stanowi połączenie najlepszego systemu zabezpieczeń (Threat Prevention) oraz analiz ekspertów w zakresie bezpieczeństwa sieciowego. Usługa realizowana jest w trybie 24x7x365 i ma na celu zapewnienie optymalnego poziomu ochrony sieci komputerowych klientów. Wsparciem objęte są trzy główne moduły programowe odpowiedzialne za ochronę sieci w czasie rzeczywistym – IPS (Intrusion Prevention System), Anti-bot oraz Antyvirus. 24 Rys. 2. Przykładowy alert opisujący wykryte zagrożenie Dostępne są trzy poziomy wsparcia – Standard, Premium oraz Elite – różniące się miedzy innymi czasem reakcji na zaobserwowane zagrożenia. Monitoring zagrożeń realizowany jest poprzez centra SOC (Security Operations Centre) firmy Check Point zlokalizowane w Izraelu oraz Kanadzie. W ramach usługi, logi gromadzone na urządzeniach sieciowych zainstalowanych w siec iach k lient ów przesyłane są do sieci ThreatCloud, gdzie poddawane są zautomatyzowanej analizie. Celem analizy jest odfiltrowanie spośród zgromadzonych danych informacji o incydentach bezpieczeństwa, które stanowią rzeczywiste zagrożenia dla zasobów oraz usług klientów. Proces analizy działa w oparciu o wyrafinowane filtry i algorytmy, które wykorzystują aktualizowaną dynamicznie bazę wiedzy o zagrożeniach. W przypadku stwierdzenia wrogiej aktywności mogącej zagrozić bezpieczeństwu sieci klienta, zarejestrowane incydenty przekazywane są w ręce ekspertów, którzy klasyfikują je względem stopnia zagrożenia oraz opracowują procedury przeciwdziałające efektom ich działania. W rezultacie powyższych działań klienci otrzymują informacje o wykrytych zagrożeniach dotyczących ich sieci w formie czytelnych alertów (rysunek 2) zawierających szczegółowy opis incydentu, ryzyka jakie Integrujemy przyszłość® za sobą niesie, zasobów którym zagraża oraz rekomendacje pozwalające na uniknięcie lub ograniczenia ryzyka ataku. W przypadku klientów Premium lub Elite, wykrycie zagrożenia o statusie „Critical” (np. trwający atak, wykrycie podatności na atak lub rzeczywistej infekcji sieci) równoważne jest z otwarciem zgłoszenia serwisowego ( Ticket) dokumentującego kroki podjęte przez SOC w celu usunięcia zagrożenia. Zgłoszenia pozostają otwarte do czasu definitywnego rozwiązania problemu. W ramach us ł ugi T hreatC loud Managed Security Service poza alertami będącymi efektem analizy indywidualnych logów klient a, użytkownicy uzyskują dostęp do informacji o zagrożeniach płynących z sieci ThreatCloud. Sieć ThreatCloud, zgodnie z wcześniejszym opisem, na bazie analizy zagrożeń w czasie rzeczywistym dostarcza aktualizacji zabezpieczeń bezpośrednio do modułów programowych uruchomionych na bramach sieciowych klientów. Jak wspomniano wcześniej, obecnie z danych płynących z sieci ThreatCloud korzystają moduły IPS, Antyvirus oraz Anti-bot. Elementem składowym ThreatCloud Managed Security Service jest usługa optymalizacji polityki bezpieczeństwa stosowanej przez klientów (rysunek 3). Ze względu na różną złożoność sieci k lient ów or a z ic h spe c yf ic z ne Numer: II/2013 (123) Rys. 3. Optymalizacja polityki zabezpieczeń potrzeby, proces optymalizacji polityki zabezpieczeń ma charakter indywidualny. Pierwsza rekomendacja trafia do klientów już w momencie przystąpienia do usługi i oparta jest na analizie logów zgromadzonych przez klienta. W trakcie trwania usługi pierwotna rekomendacja jest okresowo weryfikowana i dostosowywana do aktualnych zagrożeń, dos t ę pnych z abe z piec ze ń or a z wymagań klientów, tak aby zasoby sieciowe były optymalnie chronione w każdej sytuacji. Częstotliwość operacji optymalizacyjnych zależy od poziomu wsparcia wykupionego w ramach usługi. Wszelkie informacje dotyczące stanu usługi ThreatCloud Managed Security Service dostępne są dla klientów poprzez portal internetowy o nazwie Managed Security Service Web Portal Standard Opis Premium Elite Threat Prevention Expert Threat Prevention Monitoring and Alerting Monitoring and Alerting Service Service Obsługiwane moduły zabezpieczeń Alerty zabezpieczeń w trybie 24x7x365 (rysunek 4). Po zalogowaniu do portalu użytkownik ma do dyspozycji szereg zakładek prezentujących wybrane aspekty działania usługi: • „Overview” – przedstawia aktualny stan usługi – m. in. listę zdarzeń i alertów z ostatnich 24h, otwarte zgłoszenia (Tickets), alerty oczekujące oraz zablokowane zdarzenia. • „Alerts” – prezentuje informacje o ak tualnych i histor yc znych alertach wygenerowanych przez usługę. Zakres danych może być filtrowany w oparciu o parametry t ak ie jak st opie ń z agr oż enia, moment wykrycia/wystąpienia ataku oraz informacje o źródłowych i docelowych adresach IP. • „Events” – zakładka analogiczna do sekcji „Alerts”, prezentująca informację o zdarzeniach związanych z zarządzaniem bezpieczeństwem sieci. • „Tickets” – zakładka dostępna wył ąc znie dla u ż ytkowników posiadających usługę na poziomie Premium oraz Elite. Panel umożliwia śledzenie zgłoszeń w ramach przysługującego wsparcia oraz wymianę informacji z analitykami SOC przypisanymi od konkretnych zgłoszeń. Full Threat Prevention Management Service IPS, Anti-Bot, Antivirus Zautomatyzowane Analiza ekspertów Analiza ekspertów 1 godzina 30 minut 30 minut Czasy reakcji supportu Zagrożenia na poziomie Critical/ High Zagrożenia na poziomie Medium Reakcja na zapytania klientów Zarządzanie bramami sieciowymi Miesięczne podsumowanie 6 godzin 1 godzina 1 godzina Klient Klient Check Point Dostęp do portalu Managed Security Service Web Portal Śledzenie oraz eskalacja incydentów bezpieczeństwa Raporty lokalne i globalne Optymalizacja polityki zabezpieczeń Tak Nie Tak Tak Standardowe Rozszerzone Rozszerzone Roczna Kwartalna Kwartalna Tabela 1. Poziomy wsparcia usługi Threat Cloud Managed Security Service Biuletyn Informacyjny SOLIDEX® 25 TECHNOLOGIE •„Reports” – zakładka oferuje zestaw pr e def iniow a nyc h r ap o r t ów dotyczących zabezpieczeń, alertów oraz ataków. Raporty mogą być generowane ad hoc lub okresowo oraz przesyłane do określonych odbiorców. •„Global” – panel prezentuje dane o zakresie globalnym, pochodzące z sieci ThreatCloud. Zakładka oferuje możliwość generowania raportów porównujących prywatne statystyki klientów w zakresie bezpieczeństwa z ogólnymi ob s er wowanymi trendami. Dane takie przydatne są w procesie planowania rozwoju polityki bezpiec zeństwa sieci. Dodatkowo, zakładka zapewnia dostęp do czarnych list (blacklists) adresów IP. Usługa ThreatCloud Managed Security Service, jak wspomniano wcześniej, Rys. 4. Okno portalu Managed Security Service Web Portal wciąż trwa, ograniczenie strat klienta oraz jak najszybsze przywrócenie organizacji do stanu obserwowanego przed atakiem. Usługa dostępna jest dla klientów 24 godziny na dobę, 7 dni ThreatCloud to sieć, która powstała jako odpowiedź na dynamicznie w tygodniu. Jak wygląda procedura rozwijającą się cyberprzestępczość. Podstawową ideą działania sieci uzyskania wsparcia w ramach usługi? W momencie wystąpienia incydentu ThreatCloud jest współpraca organizacji oraz wymiana informacji o klient zgłasza telefonicznie problem do fir my C heck Point z prośbą pojawiających się zagrożeniach sieciowych. o wsparcie. W ciągu maksymalnie 30 minut zestawione zostaje połączenie konferencyjne pomiędzy klientem oraz inżynierem przydzielonym do obsługi dostępna jest w trzech wariantach – Usługa TreatCloud Incident zgłoszenia. Dedykowany inżynier Standard, Premium oraz Elite. Wariant Response współpracuje z klientem w zakresie podstawowy zapewnia zautomaident yf ik ac ji ź r ód ł a pr oblemu dokonując analizy zasobów systetyzowaną analizę logów modułu mowych, poprawności pracy urządzeń, IP S ora z dost arc z anie aler t ów wydajności aplikacji oraz wzorców w przypadku wykrycia znaczących ruchu pod kątem niepokojących zagrożeń. Poziom Premium rozszerza anomalii. Analizie poddawane są logi pakiet o wsparcie ekspertów Check pochodzące z urządzeń firmy Check Point, których zadaniem jest analiza Point (Firewall, IPS, DLP, Anti-bot), pojawiających się alertów i określanie a także w miarę potrzeb z innych czy wymagają one natychmiastowej urządzeń sieciowych, aplikacji pracuinterwencji. Zarówno poziom Standard, jak i Premium umożliwiają rozwi- Usługa ThreatCloud Incident Response, jących w środowisku klienta, w tym nięcie usługi o analizę logów modułu w odróź nieniu od T hreatC loud także przechwycony ruch sieciowy Anti-bot oraz Antivirus. Poziom Elite Managed Security Service ma charakter (packet captures). Szeroka analiza poza elementami wymienionymi stricte reaktywny. Usługa ta przezna- ma na celu jak najdokładniej określić powyżej (włączając analizę logów czona jest dla klientów, których sieć występujące zagrożenia, tak aby IPS, Anti-bot, Antivirus) zapewnia komputerowa padła ofiarą ataku można było sprawnie i efektywnie zdalne administrowanie infrastrukturą powodującego np. wyciek danych, im przeciwdziałać. Efektem opisanych zabezpieczeń opartą o produkty Check utrat ę danych lub ogranic zenie prac jest rekomendacja dotycząca Point, a także zarządzanie polityką dostępności usług (atak DoS, DDoS). kroków, jakie klient powinien podjąć bezpieczeństwa. Szczegółowe infor- G łównym celem realizowanym w celu ograniczenia samego ataku, macje dotyczące każdego z wariantów w ramach usługi ThreatCloud Incident jak i jego skutków. Po potwierdzeniu Response jest zatrzymanie ataku, jeżeli ustąpienia zgłaszanego problemu oraz przedstawione zostały w tabeli nr 1. 26 Integrujemy przyszłość® Numer: II/2013 (123) Rys. 5. Portal Incident Response usunięciu jego skutków, zgłoszenie zostaje zamknięte, a klient w ciągu maksymalnie 48 godzin otrzymuje s z c z egó ł owy r ap or t opisują c y okoliczności wystąpienia incydentu. W r apor c ie z najduje się s zc ze gółowy opis incydentu, analiza jego przebiegu wraz z konkretnymi informacjami z logów systemowych, wykaz podjętych czynności, a także szczegółowa rekomendacja dotycząca dalszego postępowania. Raporty dotyczące wszystkich zgłoszonych incydentów dostępne są dla klienta z poziomu portalu Incident Response (rysunek 5). Portal dostarcza zestaw niezbędnych informacji wspomagających przygotowanie się oraz efektywne przeciwdziałanie pojawiającym się zagrożeniom. Poza raportami opisującymi zaistniałe incydenty, popr zez por t al udost ę pniane są klientom informacje o wykrytych w ciągu ostatniej doby zagrożeniach wraz z opisem ich działania, zalecenia „best practices”, a także okresowe porównania z aobser wowanych zdarzeń u klienta w stosunku do zbiorczych danych producenta. Incident Response Portal dostarcza tak że mechanizm umożliwiający bezpieczne przekazywanie logów systemowych w celu wykonania analizy przez ekspertów Check Point oraz przedstawienia ewentualnych zaleceń dotyczących modyfikacji mechanizmów zabezpieczeń. Przekazywane logi są ponadto kompresowane i pr zechowywane na wypadek pojawienia się ataku – działanie takie ma na celu zminimalizowanie czasu potrzebnego na usunięcie problemu. Logi przekazywane są do firmy Check Point w odstępach 30-dniowych. W ramach usługi ThreatCloud Incident Response poza zapewnieniem wsparcia w czasie rzeczywistym, możliwe jest także uzyskanie pomocy w kwestii rekomendacji ekspertów pozwalających na udoskonalenie systemu zabezpieczeń. Możliwa jest pomoc w zakresie tworzenia dedykowanych sygnatur, analiz ruchu sieciowego, rozwoju dedykowanych zabezpieczeń oraz rekomendacji dotyc z ąc ych zabezpieczeń produktów innych producentów. Opracowano na podstawie oficjalnych materiałów producenta. M.I. Inżynier SOLIDEX Biuletyn Informacyjny SOLIDEX® 27 TECHNOLOGIE Cisco Digital Media Suite – model integracji z systemem Wideokonferencji Od kilku lat obserwowany jest ciągły wzrost zapotrzebowania użytkowników na urządzenia umożliwiające transmisję obrazu i dźwięku na odległość w sieci IP, począwszy od systemów dystrybucji treści multimedialnej, a skończywszy na systemach wideokonferencyjnych. Nie ma w tym nic dziwnego, tym bardziej, że takie rozwiązaniapozwalają zaoszczędzić czas i pieniądze. W tym kontekście firma Cisco wychodzi naprzeciw oczekiwaniom klientów, oferując im zarówno systemy do dystrybucji treści multimedialnej (m.in. Cisco Digital Media Suite), jak i wideokonferencji (Cisco Telepresence). Do tej por y powyż sze systemy rozważane były niezależnie, ale od kilku miesięcy istnieje możliwość integracji tych środowisk, dzięki wykorzystaniu Telepresence Content Server i Media Experience Engine, co zostało przedstawione na rysunku 1. W ar tykule tym przedst awiony zostanie Digial Media Suite, Cisco Telepresence oraz elementy spinające oba systemy: Telepresence Content Server i Media Experience Engine 3500. Z aprezentowany zostanie także model integracji środowiska przeznaczonego do wideokonferencji i dystrybucji treści multimedialnej, który idealnie wpisuje się w architekturę Capture-Transform-Share (rysunek 2), gdzie obraz i dźwięk są początkowo przechwytywane ( z apis ywa ne or a z k o dowa ne ) , 28 Rys. 1. Integracja DMS i Cisco Telepresence nast ępnie obrabiane – przekonwer towywane do odpowiednich formatów dla odbiorników (PC , tabletów, smartfonów) – a na samym końcu udostępniane użytkownikom końcowym. Integrujemy przyszłość® Cisco TelePresence System wideokonferencji firmy Cisco był już omawiany we wcześniejszych opracowaniach, niemniej dla por z ądku pr z ypomnijmy elementy wchodzące w skład jego Numer: II/2013 (123) Rys. 2. Architektura Capture-Transform-Share podstawowej architektury: •serwer przetwarzania połączeń – w obecnej architekturze do wyboru są dwa serwery: Cisco Unified Communications Manager lub Cisco TelePresence Video Communication Server, •serwer zarządzania kompotentami systemu Cisco TelePresence – Cisco TelePresence Management Suite, •serwer umożliwiający elastyczne alokowanie zasobów mostków – Cisco TelePresence Conductor, •mostki wideokonferencyjne – serie MCU 4500, MCU 5300, •serwer archiwizacji wideo spotkań – TelePresence Content Server, •terminale wideo: −− Personal: Seria EX, Cisco Jabber™ Video for TelePresence, −− Multipurpose: Seria MX, seria Profile, pakiet integratorski, SX20 quick set, −− Immersive: Seria TX. Cisco Digital Media Suite (DMS) synchronizację czasową, skończywszy na wyświetleniu na ekranach LCD oraz komputerach osobistych. Podstawą systemu jest Cisco Digital Media Manager (DMM) – aplikacja zarządzająca całą funkcjonalnością systemu (rysunek 3). Umożliwia ona m.in.: playlist z odpowiednimi czasami trwania, natychmiastowa lub też zaplanowana w harmonogramie zmiana wyświetlanej treści), •wyświetlanie wcześniej przygotowanych materiałów multimedialnych (Cisco Digital Signs), •zaplanowanie transmisji na żywo Rys. 3. Cisco Digital Media Manager DMS to kompleksowe rozwiązanie multimedialne dla przedsiębiorstw i instytucji. Jest jednym z kilku systemów w ofercie firmy Cisco, umożliwiających dystrybucję obrazu i dźwięku w sieci IP. Cisco Digital Media Suite pozwala na odpowiednie przygotowanie materiału źródłowego, poprzez jego edycję, tworzenie list odtwarzania, •zarządzanie Cisco Digital Media Player znajdującymi się w sieci IP (wyszukiwanie, konfigurowanie, monitorowanie stanu urządzeń, grupowanie DMP w obszary w zależności np. od strefy czasowej, miejsca instalacji), •kontrolowanie wyświetlanej treści na poszczególnych ekranach (tworzenie Biuletyn Informacyjny SOLIDEX® (IP T V ), czy też listy materiałów VoD, z których użytkownicy mogą wybierać interesującą ich treść (Cisco Cast), •projektowanie schematów wyświet la nia t r e ś c i mul t ime dia lne j na ekranach, •tworzenie raportów z wyświetlonych materiałów multimedialnych, 29 TECHNOLOGIE •kontrolę monitorów, na których wyświetlane są treści multimedialne (włąc zenie/wyłąc zenie, sterowanie głośnością, parametrami wyświetlania). Nieodłącznym elementem systemu są Digital Media Players – odtwarzacze multimedialne umożliwiające wyświetlanie na ekranach treści multimedialnej strumieniowanej w sieci IP (rysunek 4). Firma Cisco w c elu og r anic zenia dos t ę pu do zamieszczanych materiałów multimedialnych, •zamieszczanie plików do pobrania, plików transkrypcji, •p r z yp i s a n i e z a m i e s z c z a ny c h mater iałów do odpowiednich kategorii, •tworzenie wydarzeń na żywo, •nagrywanie materiałów wideo przy wykorzystaniu kamery internetowej, •wyszukiwanie tre ści multime dialnej na podstawie kategorii, tytułu, autora lub słów kluczowych z możliwością subskrypcji oraz powiadomień odnośnie aktywności poszczególnych autorów (opisy, komentarze). Powyższe elementy DMS można u z up e ł ni ć o s er wer y s t r umie Rys. 4. Cisco Digital Media Player niujące, kodery sprzętowe (np. DME 2100, Scientific Atlanta Encoder), w swojej ofercie udostępnia dwa Set Top Box-y, urządzenia pozwamodele DMP: DMP 4310G i 4400G. lające na strumieniowanie mediów Odtwarzacze te umożliwiają wyświe- w rozległej sieci IP (Cisco Media tlanie materiałów multimedialnych Delivery Engine) oraz wiele innych typu VoD, IPTV, stron http, aplikacji e l e m e n t ó w u m o ż l i w i a j ą c y c h flash w jakości HD i FullHD. DMP rozbudowę systemu dystrybucji treści umoż liwiają DMM sterowanie multimedialnej, które nie są tematem parametrami podłączonych do nich niniejszego artykułu. wyświetlaczy. Odtwarzacze te mogą być zarządzane lokalnie lub też przez centralną aplikację – Digital Media Manager. DMP obsługują następujące protokoły: (S)FTP, HTTP(S), UDP, RTP, RTSP. Podstawową architekturę systemu DMS można rozbudować o Cisco Show and Share (rysunek 5). Jest to portal społecznościowy przeznaczony dla korporacji, instytucji, pozwalający m.in. na: •z a m i e s z c z a n i e f o r m a t ó w plików Windows Media, Flash i MPEG-4/H.264, •integrację z Media Experience Engine, która zapewnia automatyczne transkodowanie plików do MPEG-4, •dostęp do portalu dla użytkowników przez przeglądarkę internetową (nie trzeba instalować żadnych dodatkowych aplikacji na PC), •dostęp do portalu dla klientów mobilnych (Apple IOS), •ograniczenie przez administratorów praw dostępu do portalu, •edytowanie materiałów Flash, MPEG-4, •g r u p o w a n i e u ż y t k o w n i k ó w , Rys. 5. Cisco Show and Share 30 Integrujemy przyszłość® Model Integracji Integracja tych dwóch środowisk (Cisco DMS i TelePresence) nie byłaby możliwa, gdyby nie wykorzystanie potencjału MXE 3500 (od wersji 3.3) i TCS (od wersji 5.2). Ich funkcjonalności zostały przedstawione poniżej: • Cisco Media Experience Engine (MXE) umożliwia transkodowanie materiałów multimedialnych nie tylko na żądanie, ale również w czasie rzeczywistym. Na rynku dostępne są dwa modele tego produktu MXE 3500 oraz MXE 5600. Skupmy się przykładowo na modelu MXE 3500. Urządzenia te, podobnie jak większość urządzeń firmy Cisco można klastrować. MXE umożliwia przetwarzanie w czasie rzeczywistym strumieni wideo zakodowanych MPEG SS, MPEG2-TS, MPEG2-PS, MPEG ES, WMV do WMV, h.264, Flash, MPEG2-TS, a także plików multimedialnych WMV, Flash, MP4, QuickTime i innych, m.in. do formatów: WMV, Flash, MP4, 3 GP, Q uic k T ime . M X E 3 5 0 0 umożliwia transkodowanie obrazu, jak i d ź wię k u poc hod z ą c ego Numer: II/2013 (123) Rys. 6. MXE 3500 – możliwości z różnych źródeł (format, rozdzielc zo ś ć , bitrate) do for matu odpowiedniego dla danego urządzenia końcowego, co zostało zaprezentowane na rysunku 6 . Podczas transkodowania materiału multimedialnego istnieje możliwość dodania sygnatur, z naków wodnych, tematów, animacji, ale także znakowania i indeksowania wypowiadanych słów w przetwarzanych materiałach wideo, w celu łatwiejszego przeszukiwania tych materiałów – opcja Pulse Video Analytics. Wyżej wymieniona opcja pozwala na identyfikowanie mówcy. •Cisco TelePresence Content Server (TCS) jest to serwer pozwalający archiwizować i strumieniować prowadzone wideokonferencje (wra z z udost ę pnianą prezen tacją), a następnie udostępniać je użytkownikom. Dzięki opcji P r emium Re s olut ion is t nieje możliwoś ć nagr ywania wideo spotkań w jakości Full HD i strumieniowania ich w jakości HD. TCS obsługuje protokoły H.323 i SIP, umożliwia nagrywanie do dziesięciu równoczesnych wideokonferencji i strumieniowanie do 2 wideo spotkań. Strumieniowanie realizowane jest dzięki wbudowanemu ser wer owi s t r umieniując emu Windows Media Services. Odbywa się ono zarówno przy wykorzystaniu transmisji unicast, jak i multicast. Cisco TCS można klastrować – do 10 urządzeń – rozszerzając w ten sposób możliwości archiwizacji i strumieniowania równoczesnych wideo. Nagrywanie spotkań odbywa się w formatach Windows Media, Adobe Flash, MPEG-4, Real Media. Istnieje możliwość odtwarzania nagranych wc ze śniej spotkań na wideo terminalu, jak i przy do MXE, gdzie następuje transkodowanie materiału multimedialnego do odpowiednich formatów obsługiwanych przez określone aplikacje. Tak obrobiony materiał może zostać od razu przesłany i opublikowany na portalu Show and Share. TCS daje możliwość strumieniowania nagrywanych materiałów, dzięki wbudowanemu serwerowi strumieniującemu Windows Media Services, który wykorzystuje transmisję unicast lub multicast. Strumień ten może bezpośrednio trafić do użytkowników końcowych Show and Share, a także do DMP po jego przetranskodowaniu w czasie rzeczywistym przez MXE. Transkodowanie strumienia dla odtwarzaczy multimedialnych jest konieczne ze względu na fakt, że przy transmisji wideo w czasie rzeczywistym obsługiwany jest format MPEG-2TS w postaci ruchu multicastowego, a źródłowy strumień to WMV (unicast, multicast). Integracja systemu Cisco TelePresence i Cisco Digital Media Suite umożliwia dotarcie do szerszej grupy odbiorców. Dzięki takiemu schematowi (Capture-Transform-Share) można dotrzeć zarówno do jednego, jak i tysiąca osób niejednokrotnie zlokalizowanych w różnych strefach czasowych, krajach. wykorzystaniu przeglądarki internetowej. Połączenia do serwera TC S odbywają się z prędkością do 4 Mb/s . Nagr ywane konferencje mogą być magazynowane na lokalnych zasobach serwera lub też zewnętrznych, przy równoczesnym zabezpieczeniu ich hasłem. TCS daje możliwość edycji i montażu nagranych materiałów. Rola, jaką odgrywają MXE 3500 i TCS w architekturze Capture-Transform- S ha r e z o s t a ł a p r z e d s t awio na na rysunku 7. Terminale wideo, jak i TCS, MCU rejestrowane są na serwerze przetwarzania połączeń (CUCM lub VCS) przy wykorzystaniu protokołu SIP lub H. 32 3. Użytkownicy, którzy chcą zarchiwizować lub strumieniować wideo spotkanie muszą do niego włączyć TCS-a. Odbywa się O p r a c o w a n o n a p o d s t a w i e to przez wybór odpowiedniego aliasu oficjalnych materiałów producenta: serwera, dokładnie tak samo, jak www.cisco.com. w przypadku dołączania kolejnego M.J. uczestnika wideokonferencji. Nagrane Inżynier SOLIDEX wydarzenie, prezentacja, czy spotkanie może zostać automatycznie przesłane Rys. 7. Topologia koncepcji Capture-Transform-Share Biuletyn Informacyjny SOLIDEX® 31 TECHNOLOGIE BYOD – Cisco ISE mózgiem rozwiązania W ostatnim czasie bardzo popularny stał się termin BYOD. Jest to skrót od „Bring Your Own Device”, czyli w wolnym tłumaczeniu – Przynieś swoje urządzenie (laptop, smartfon, tablet, itp…). Również Integrator poruszał niedawno ten temat w jednym z ostatnich numerów. Korzystanie z prywatnych urządzeń mobilnych w pracy, choć coraz bardziej popularne, może w określonych warunkach przynieść więcej szkód ani żeli korzyś c i. Dzieje się t ak zwłaszcza wtedy, gdy jest to robione w sposób niekontrolowany. Właśnie w takich przypadkach z pomocą przychodzi BYOD. BYOD to nie tylko hasło czy trend, to także zestaw polityk i regulacji, dzięki którym korzystanie z prywatnych urządzeń mobilnych w pracy staje się dopuszczalne i bezpieczne dla pracodawców. W ramach BYOD należy zredefiniować zasady dostępu do danych korporacyjnych uwzględniając dostęp z urządzeń mobilnych oraz określić procedury bezpieczeństwa dla takich urządzeń. Implementacja praktyczna BYOD nie ogranicza się do pojedynczego produktu, to również funkcjonalności zintegrowane z urządzeniami sieciowymi oraz dodatkowe komponenty tworzące 32 Rys. 1. Architektura BYOD Integrujemy przyszłość® Numer: II/2013 (123) Rys. 2. Przykład polityk autoryzacyjnych „inteligentną sieć”. Na rysunku 1 przed- mają możliwość budowania szczegóstawiona została architektura BYOD łowych polityk dostępowych. Reguły uwierzytelniające i autoryzacyjne, wysokiego poziomu według Cisco. bazujące na tożsamości użytkownika, dodatkowo mogą badać tzw. kontekst ISE w pigułce sesji, czyli to skąd użytkownik się K luc zowym komponent em dla łączy (lokalizacja), poprzez jakie implementacji architektury BYOD medium, kiedy, a przede wszystkim w środowisku Cisco jest ISE – Identity z jakiego urządzenia. Co najważniejsze, Services Engine. ISE dostarcza szeregu odbywa się to bez konieczności instausług, wśród których najważniejsze to: lacji dodatkowego oprogramowania •au t e nt yk ac ja u ż y t kowników na urządzeniu końcowym, bez tak zwanego agenta. Przykład rzeczyi urządzeń, •autoryzacja dostępu dla użytkow- wisty definicji polityk autoryzacyjnych z wykorzystaniem kontekstu sesji ników i urządzeń, przedstawia rysunek numer 2. •profilowanie urządzeń, •rejestrowanie urządzeń, •portal gościnny, Architektura ISE •portal samoobsługowej rejestracji użytkowników i urządzeń, Logicznie ISE składa się z czterech •zarządzanie politykami dostępu autonomicznych modułów zwanych •raportowanie, „Persona”. Każdy z modułów spełnia •określanie zgodności stacji z polityką określone funkcje: (ang. posture assessment). Administration Persona – umożliwia Poza najważniejszymi funkcjami, jak wykonywanie wszelkich operacji autentykacja i autoryzacja dostępu administ rac yjnych z wią z anych do sieci, ISE umożliwia również z funkcjonowaniem systemu jako identyfikację urządzeń podłączonych c a ło ś c i . W ś r odowisk u r oz pr o do sieci. Na podstawie najróżniej- szonym przynajmniej jeden z węzłów, szych atrybutów i wiedzy o danym a maksymalnie dwa mogą posiadać urządzeniu (która aktualizowana rolę Administration Persona. W takim jest w sposób ciągły i dynamiczny), przypadku jeden z węzłów określony administratorzy bezpieczeństwa jes t jako P r imar y i umo ż liwia Biuletyn Informacyjny SOLIDEX® dowolną modyfikację konfiguracji oraz polityk bezpieczeństwa. Drugi z węzłów zwany Secondary posiada kopię konfiguracji węzła Primary. W przypadku awarii węzła Primary, węzeł Secondary należy ręcznie wypromować na węzeł Primary. Policy Service Persona – dostarcza mechanizmów kontroli dostępu sieciowego, walidacji stacji, dostępu gościnnego oraz usług profilowania urządzeń. To adres IP tego węzła (lub węzłów w środowisku rozproszonym) podaje się w konfiguracji urządzeń dostępowych jako „Authentication Server” dla autentykacji użytkowników i hostów oraz jako klienta dla mechanizmu Radius CoA (Change of Authority). W środowisku rozproszonym ilość węzłów posiadających rolę Policy Service Persona uzależniona jest od złożoności i modelu wdrożenia. Monitoring Persona – umożliwia ISE funkcjonowanie jako kolektor oraz repozytorium logów dla pozostałych modułów. Dostarcza zaawansowanych narzędzi do monitorowania, raportowania i rozwiązywania problemów dotyczących bezpiecznego dostępu do sieci. W środowisku rozproszonym mak symalnie dwa wę zł y mogą posiadać rolę Monitoring Persona (primary i secondary), oba węzły 33 TECHNOLOGIE uruchomione wszystkie niezbędne moduły (Persona), co przedstawiono na rysunku 4. Implementacja taka pozwala na obsługę maksymalnie do 2000 końcówek bez względu na wykorzystaną platformę. Nieco bardziej zaawansowanym modelem wdrożenia jest model rozproszony wykorzystujący dwie fizyczne lub wirtualne platformy (rysunek 5). Jest to minimalny zalecany model do implementacji w środowiskach produkcyjnych. W modelu tym na obu węzłach uruchomione są wszystkie niezbędne moduły. Oba węzły są dla siebie wzajemnie redundantne, przy Rys. 3. Architektura logiczna Cisco ISE czym pierwszy z węzłów pełni rolę Primary dla modułu Administracyjnego otrzymują te same logi. W przypadku i planowanych do pojawienia się i Secondary dla modułu Monitoruawarii węzła Primary, wszelkie usługi na rynku w najbliższym czasie. jącego. Drugi z węzłów odwrotnie, związane z monitorowaniem i raporto- Wszystkie moduły z wyjątkiem tj. pełni rolę Secondary dla modułu waniem automatycznie są świadczone Inline Posture Persona mogą być Administracyjnego i Primary dla z węzła Secondary. uruchomione na dowolnej platformie, modułu Monitorującego. Podobnie jak Inline Posture Persona – specjalny typ wliczając w to platformę wirtualną. w przypadku modelu podstawowego węzła wykorzystywany w przypadku Inline Posture Persona może być bez redundancji, implementacja taka integracji środowiska z urządzeniami uruchomiona tylko i wyłąc znie pozwala na obsługę maksymalnie dostępowymi niewspierającymi na platfor mie fizyc znej. Dobór do 2000 końcówek. odpowiedniej platformy zależy przede W przypadku konieczności obsługi mechanizmu Radius CoA. Na rysunku numer 3 przedstawiono wszystkim od złożoności środowiska ponad 2000 a mniej niż 10000 graficznie architekturę logiczną Cisco ISE. oraz modelu wdrożenia. końcówek, zaleca się uruchomienie modułu Policy Service na osobnej Platforma fizyczna czy Modele wdrożeń plat for mie (mak symalnie pię ć wirtualna? wę złów). Roz wią z anie t ak ie Istnieje kilka schematów wdrożeń. umożliwia przydział większej ilości ISE dostępne jest jako platforma W yb ór o dp owie dniego z ale ż y zasobów poszczególnym modułom, fizyczna oraz wirtualna (VMware). głównie od ilości hostów obsługi- a w konsekwencji zwiększenie ilości W t abeli numer 1 ze s t awiono wanych przez ISE. Najprostszym obsługiwanych końcówek (rysunek porównanie platform sprzętowych modelem jest wdrożenie ISE jako 6). Rozwiązanie takie preferowane ISE, zarówno dostępnych obecnie pojedynczego urządzenia (fizycznego jest również w przypadku posiadania do wykorzystania komercyjnego, jak lub wirtualnego). Węzeł taki posiada dwóch i więcej dużych lokalizacji Hardware Small – 3315 Medium – 3350 Large – 3395 Small – New – L arge – New – 3415 3495 Processor 1 x QuadCore Intel Core 2 CPU Q9400 @ 2.66 GHz 1 x QuadCore Intel Xeon CPU E5504 @ 2.00 GHz 2 x QuadCore Intel Xeon CPU E5504 @ 2.00 GHz 1 x Intel Xenon Quad-Core 2.4 GHz E5-2609 2 x Intel Xenon Quad-Core 2.4 GHz E5-2609 Memory 4 GB 4 GB 4 GB 16 GB 32 GB Hard disk 2 x 250-GB SATA HDD 2 x 300-GB SAS drives 4 x 300-GB SFF SAS drives 1 x 600GB 6Gb SAS 10K RPM 2 x 600GB 6Gb SAS 10K RPM No Yes (RAID 0) Yes (RAID 0+1) No Yes (RAID 0+1) Ethernet NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs 4 x Integrated Gigabit NICs Power supply 350W Dual 675W (redundant) Dual 675W (redundant) 650W Dual 650W (redundant) RAID Tabela 1. Platformy sprzętowe ISE 34 Integrujemy przyszłość® Numer: II/2013 (123) Rys. 4. Model podstawowy Rys. 5. Model podstawowy redundantny Rys. 6. Model rozszerzony – obsługa do 10k końcówek Rys. 7. Model rozszerzony – obsługa do 100k końcówek zdalnych, gdzie w celu optymalizacji można umieścić dedykowany węzeł Policy Service. Największym i zarazem najbardziej zaawansowanym modelem wdrożenia jest model, gdzie wymaga się obsługi do 100 tysięcy końcówek. W takim przypadku zalecana jest separacja A r t y k u ł z o s t a ł o p r a c o w a n y wszystkich modułów, to znaczy na podstawie oficjalnych materiałów ur uchomienie ich na osobnych producenta platformach w celu uzyskania maksymalnej wydajności (rysunek 7). Model R.S. ten pozwala na uruchomienie maksyInżynier SOLIDEX malnie 40 węzłów Policy Service. www.SOLIDEX.com.pl Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® 35 rozwiązania F5 iApp – konfiguracja zorientowana na aplikacje Ciągły rozwój samych aplikacji oraz mnogość pojawiających się opcji w rozwiązaniach producentów oferujących możliwości wdrażania, kontroli i zarządzania aplikacjami sieciowymi, sprawiają, że optymalna implementacja takich aplikacji w dzisiejszych czasach przestaje być sprawą prostą. Jednocześnie obserwowany jest wzrost czasochłonności prac implementacyjnych tego typu rozwiązań. Do poprawnego wdrożenia aplikacji sieciowej wymagana jest bezbłędna znajomość wielu aspektów takich jak: •wiedza, co się dzieje na poziomie aplikacyjnym, •wiedza, co się dzieje na poziomie sieciowym, •znajomość specyfiki wdrożenia aplikacji w określonym środowisku sieciowym. Wraz z nastaniem wersji v10 dla produktów F5 Big-IP, producent ten wyszedł naprzeciw rosnącym oczekiwaniom, by uprościć bardzo c zasochłonny, manualny proces wdrażania najczęściej spotykanych i wykor z ys t ywanyc h aplik ac ji sieciowych. W tej wersji oprogramowania po raz pierwszy zostały użyte tzw. wzorce (Template’y) aplikacyjne. W wersji v10 zaimplementowano 36 je dla najczęściej używanych aplikacji takich jak: •BEA WebLogic, •Microsoft® Exchange Outlook Web Access (OWA), •Microsoft Internet Information Services (IIS), •Microsoft SharePoint, •Oracle Application Server, •SAP ERP Central Component, •SAP Enterprise Portal, •VMware Virtual Desktop Infrastructure (VDI). Rolą tych narzędzi było zminimalizowanie nie tylko czasu potrzebnego na wdrożenie konkretnej aplikacji, ale też wyeliminowanie błędów i konfliktów z istniejącą konfiguracją. Po wyborze odpowiedniego wzorca startował wizard, który wymagał odpowiedzi na określone pytania Integrujemy przyszłość® dotyczące implementacji (zadane z punktu widzenia łączącego podejście biznesowe i sieciowo-administracyjne). Warto także zauważyć fakt, że wzorce te powstały jako odzwierciedlenie najlepszych praktyk wdrożenia aplikacji, wypracowanych wskutek testów i ścisłej współpracy z producentami samych aplikacji. Rozwiązanie zaproponowane w v10 nie było idealne z kilku powodów takich jak: •brak możliwości edycji wzorca, •brak możliwości wdrażania własnych wzorców, •brak scentralizowanego zarządzania konfiguracją powstałą z wzorca. Ponadto nawet po wykorzystaniu określonego wzorca przeważnie była wymagana nieznaczna modyfikacja manualna dodanych obiektów i ich Numer: II/2013 (123) może współpracować, by wdrożona aplikacja realizowała cele biznesowe. Mechanizm iApp zmienia całkowicie podejście konfiguracyjne, skupiając się na zarządzaniu z punktu widzenia aplikacji. Wówczas takie tradycyjne obiekty struktury ADN jak nodes, pools, application monitors itp. mogą być zgrupowane w jedną całość i zarządzane jako część tzw. application workflow. Rysunek 2 przedstawia zwrot koncepcji z użyciem iApp: Jest to diametralnie inne podejście gdyż sam proces implementacji skupia się na zorientowaniu na określoną aplikac ję , a obiek ty potr zebne do jej prawidłowego funkcjonowania są tworzone automatycznie w trakcie pracy z funkcjonalnością iApp. Rys. 1. Konfiguracja dostępu do aplikacji – podejście bez iApp Składowe iApp Na funkcjonalność iApp składają się następujące komponenty: •iApp Template, •iApp Application Services, •iApp EcoSystem, •iApp Analytics. iApp Template definiuje interfejs i zachowanie dla określonego typu aplikacji. Ma za zadanie stworzyć Rys. 2. Konfiguracja dostępu do aplikacji – podejście z iApp specyficzny, konfiguracyjny formularz instruujący administratora przy parametrów, ze względu na specyfikę Wraz z pojawieniem się funkcjonal- wykonywaniu złożonej konfiguracji środowiska produkcyjnego. Pomimo ności iApp udało się wprowadzić dla określonej aplikacji. Konstrukcja swoich ograniczeń wzorce aplikacyjne element spajający wiele indywidu- pojedynczego iApp Template zawiera stanowiły jednak wyraźny sygnał alnych komponentów wymaganych trzy podstawowe sekcje: nowej wizji implementacji dostępu do aplikacji sieciowych. Nowa wizja – iApp Jest to diametralnie inne podejście gdyż sam proces implementacji Wraz z wersją v11 dla produktów F5 Big-IP pojawiło się narzędzie iApp, które stanowi rozwinięcie wizji, jaka została zapoczątkowana w wersji v10. Jeszcze przed pojawieniem się tej nowej funkcjonalności, fundamentalnym problemem był brak z r oz umienia , jak pos zc zególne komponenty infrastruktury składają się na system dostarczenia aplikacji sieciowej do użytku. Przykładowo dla każdej aplikacji należało utworzyć osobne obiekty, podać wartości ich parametrów i ustawić zależności pomiędzy poszczególnymi grupami obiektów, by uzyskać funkcjonującą konfigurację – tak jak to pokazano na rysunku 1. skupia się na zorientowaniu na określoną aplikację, a obiekty potrzebne do jej prawidłowego funkcjonowania są tworzone automatycznie w trakcie pracy z funkcjonalnością iApp. do dostarczenia aplikacji poprzez zgrupowanie ich w odpowiednim wzorcu połąc zonym z aplikacją . Obecnie iApp wprowadza szablon (framework), poprzez który personel zwią zany z róż nymi funkc jami (aplikacji, zabezpieczeń, sieci, operacji) całej struktury dostarczania aplikacji (Application Delivery Network (ADN)) Biuletyn Informacyjny SOLIDEX® Presentation – ma za zadanie pełnić rolę interfejsu prezentacji dla użytkownika i zbierać informacje wprowadzane przez niego w odpowiednich polach formularza konfiguracyjnego. Sekcja ta jest pisana w języku oprogramowania APL (Application Presentation Language). To w tym miejscu decydujemy, jakie pytania powinny zostać zadane 37 rozwiązania sys application template f5.template_name { actions { definition { html-help { <HTML help definition goes here> } implementation { <Back-end Tcl and TMSH code goes here> } presentation { <Application presentation language code goes here> } } } } Rys. 3. Struktura pustego iApp Template użytkownikowi, jakie dane muszą zostać wprowadzone lub jakie obiekty czy funkcjonalności wykorzystane. Dzięki takiemu podejściu ograniczona zostaje również ilość kroków potrzebna do wdrożenia planowanego rozwiązania. Implementation – wykorzystuje dane wprowadzone przez użytkownika do zbudowania konfiguracji, która będzie kontrolować ruch związany z aplikacją. Po pozyskaniu tych danych, dzięki tej warstwie mamy możliwość zautomatyzowania prak tyc znie ka żdego zadania na urządzeniu Big-IP. Ta sekcja jest pisana w języku oprogramowania Tcl/tmsh. Generalnie przyjmuje się, że wszystko, co może być zrobione za pomocą języka tmsh ( Traffic Management Shell) może zostać zaimplementowane w iApp. HTML Help – ograniczony do kilku podstawowych tagów, ma za zadanie dokumentowanie wzorca oraz dostarczenie użytkownikom odpowiednich informacji i pomocy w warstwie prezentacji interfejsu. Niewątpliwą zaletą iApp Template jest fakt, że mogą być tworzone, edytowane, kopiowane i kasowane bezpośrednio z GUI urządzenia Big-IP. Ich edycja jest możliwa również z dowolnego edytora tekstowego. Struktura pustego iApp Template została przedstawiona na rysunku 3. Istnieje kilka rodzajów iApp Template: • F 5 suppor ted i A pp Templates – stworzone, testowane i wspierane przez producenta (F5). Wzorce te są dostarczane wraz z wersją software lub producent udostępnia je na swojej stronie 38 internetowej. Obecnie dostępne są wzorce dla typowych aplikacji i ich funkcjonalności: −− Oracle WebLogic Server 10.3 (BEA WebLogic 5.1 and 8.1), −− Citrix Presentation Server 4.5, −− Citrix XenApp 5.0, 5.1 and 6.0, −− Diameter, −− DNS Load Balancing, −− HTTP, −− IP Forwarding, −− LDAP, −− Microsoft Exchange 2010 and 2010 SP1, −− Microsoft Exchange OWA 2007, −− Microsoft IIS 7 and 7.5, −− Microsoft Lync 2010, −− Microsoft OCS 2007 R2, −− Microsoft Sharepoint 2010, −− Microsoft Sharepoint 2007, −− nPath, −− Oracle Application Server 10g (and SSO version 10g Release 2 – v10.1.2.0.2), −− Oracle EBS 12, −− Oracle PeopleSoft 9, −− Radius, −− SAP Enterprise Portal 6.0, mySAP ERP 2005, −− SAP ERP Central Component 6.0, mySAP ERP 2005, −− VMware View 2.1, 3.0.1, 4.0 and 4.5. •F5 contributed iApp Templates – stworzone i testowane przez F5, ale nie osiągnęły jeszcze statusu pe ł nego wsparc ia pr oduc enc kiego, .Community contributed iApp Templates – stworzone przez użytkowników forum społecznościowego DevCentral. Bez wsparcia ze strony producenta. Na rysunku 4 został przedstawiony przykład wspieranego wzorca f5.http widziany z poziomu konfiguracji GUI. Rys. 4. Przykład wspieranego iApp Template f5.http Integrujemy przyszłość® Numer: II/2013 (123) Rys. 5. Przykład tworzenia serwisu iApp na podstawie iApp Template – f5.http Rys. 6. Zunifikowany podgląd na komponenty aplikacji utworzone w ramach iApp Application Service Biuletyn Informacyjny SOLIDEX® Kolejnym komponentem jest iApp Application Services, który jest procesem wdrożenia iApp Template dla określonej aplikacji np. standardowej aplikacji http. Na rysunku 5 pokazano przykładowy proces konfiguracji serwisu iApp z użyciem wzorca iApp Template f5.http. Po wystartowaniu nowego serwisu iApp, z punktu widzenia administratora urządzenia Big-IP, prezentowany jest pewien zestaw pytań, dotyczący wdrożenia aplikacji (pobierany z iApp Template). Odpowiedzi na te pytania powodują, że działający w tle skrypt procesuje wprowadzone wytyczne i tworzy odpowiednią konfigurację pod określoną aplikację. W wyniku działania narzę dzia i App otrzymujemy zunifikowany podgląd na komponenty związane z tą aplikacją. Wszystkie niezbędne elementy konfiguracji są tworzone automatycznie. Na rysunku 6 pokazano przykład podglądu na zgrupowane komponenty aplikacji po zatwierdzeniu konfiguracji z rysunku 5. Po stworzeniu tzw. obiektu ASO (Application Service Object) należy pamiętać, iż prawie wszystkie zgrupowane w nim obiekty są zarządzane praktycznie tylko z poziomu iApp (po wyborze zakładki Reconfigure). Takie zachowanie można wyłączyć per określony obiekt ASO, ale nie jest to rekomendowane przez producenta. Grupowanie obiek tów konfigurac yjnych dla aplikacji w ramach A SO posiada jeszcze jedną istotną implikację, o której warto pamiętać – wykasowanie ASO powoduje automatyczne wykasowanie wszystkich obiektów związanych z tą aplikacją. Funkcjonalność iApp jest pewną c z ę ś c i ą t z w. i A pp E c o sys t em , ze względu na to, że iApp Template mogą być eksportowane i przenoszone pomiędzy różnymi systemami Big-IP. Tego typu działalność ułatwia istnienie portalu społecznościowego DevCentral, na którym wielu administratorów i programistów dzieli się wiedzą, a także gotowymi przykładami iApp Template. Komponent iApp A nalytics jest elementem opcjonalnym, jaki może zostać włączony dla aplikacji przy tworzeniu obiektu ASO. Jego użycie pozwala na przeglądanie w czasie rzeczywistym statystyk dotyczących 39 rozwiązania i przenoszenia pomiędzy systemami, •możliwość re-edycji po zakończeniu konfiguracji, •elastyczność poprzez możliwość zaprogramowania praktycznie każdej funkcjonalności supportowanej przez urządzenia F5 Big-IP. Sama funkcjonalność iApp została zaprojektowana z myślą o dostarczeniu rzeczywistego rozwiązania typu Application Delivery Network. Rozwiązanie to stara się w sposób inteligentny zrozumieć kontekst mechanizmu wdrażania aplikacji i umożliwić jak najszybsze, scentralizowane i optymalne zarządzanie i integrację infrastruktury z aplikacjami. To główne i najważniejsze zadanie jest oczywiście tylko wierzchołkiem góry lodowej, bowiem elastyczność zastosowania Rys. 7. Przykład wykorzystania iApp Template do automatycznego backupu konfiguracji iApp na pewno będzie w przyszłości aplikacji, sprawdzania metryk wydaj- Powyższy przykład jest tylko jedną wykorzystywana także do innych, nościowych oraz stanowi cenne źródło z propozycji wykorzystania funkcjo- przydatnych zastosowań ułatwiających informacji przy operacjach związanych nalności iApp. Dzięki możliwości pracę administratorów systemów F5 z dostrajaniem i optymalizacją funkcjo- operowania językami skryptowymi Big-IP. nowania samej aplikacji. wspieranymi na urządzeniach Big-IP, prak tyc z ne z ast osowania i A pp Opracowano na podstawie oficjalnych Elastyczność rozwiązania wychodzą daleko poza samą konfi- m a t e r i a ł ó w p r o d u c e n t a o r a z materiałów dostępnych na portalu gurację zorientowaną na aplikację. DevCentral. Przy okazji omawiania sekcji implementacyjnej dla i App Template Podsumowanie D.S. padło stwierdzenie, że wszystko, Inżynier SOLIDEX co może być zrobione za pomocą Na urządzeniach F5 Big-IP oprócz języka tmsh ( Traffic Management wcześniejszych elastycznych funkcjoShell), może zostać zaimplemen- nalności, takich jak iRule czy iControl, t owane w i A pp . E la s t yc z no ś ć i A pp jes t s t osunkowo nowym narzędzia iApp pozwala na pewną elementem zasygnalizowanym w wersji swobodę implementacji rozwiązań v10, a wprowadzonym i rozwijanym nie tylko dotyczących aplikacji, ale od wersji v11. Ta funkcjonalność posiada także dodania funkcjonalności, które wiele niezaprzeczalnych zalet takich jak: standardowo nie zostały dołączone •ukr ywanie złożonoś ci rozwią przez producenta w GUI. Takim zania poprzez stosowanie wzorców przykładowym rozwiązaniem jest z elementami prowadzenia konfigumożliwość zautomatyzowania archiracji dla administratora krok-po-kroku, wizowania konfiguracji urządzenia •ułatwianie wykonywania powtaBig-IP. Odpowiedni iApp template rzalnych zadań, t ypu C ommunit y C ont r ibu t e d •transakcyjne zarządzanie konfiguracją wraz z opisem funkcjonowania jest i statusem per aplikacja, dostępny na portalu DevCentral: •zorientowanie na aplikacje, a nie https: //devcentral.f5 .com/ na oddzielne komponenty aplikacji, t e c h - t i p s / a r t i c l e s / a r c h i v i n g - •zapewnienie wspólnej platformy big-ip - c onf ig ur at ions - wit h - an współpracy dla różnego personelu iapp-in-v112#.URDmqchigTh IT związanego z wdrażaniem aplikacji Po wgraniu wzorca oraz wykonaniu sieciowych, dodatkowych czynności opisanych •dostępne i wspierane iApp Template w artykule autora, tworząc nowy wspomagają wdrożenie najbardziej obiek t A S O mamy mo ż liwo ś ć popularnych i skomplikowanych zaplanowania wykonywania automaaplikacji, tycznego backupu konfiguracji, jak •otwartość rozwiązania poprzez moż liwoś ć ek spor tu wzorców to przedstawiono na rysunku 7. 40 Integrujemy przyszłość® Numer: II/2013 (123) Warsztaty Check Point Next – Generation Firewall R75 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R75. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami – IPS, Content Security, Integracja z ActiveDirectory – budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.solidex.com.pl/oferta/warsztaty Biuletyn Informacyjny SOLIDEX® 41 rozwiązania Skrypty w Unified Contact Center Express Już od prawie 7 lat firma Cisco dodaje do systemu Unified Communications Manager darmowy pakiet licencji na oprogramowanie Unified Contact Center Express (UCCX). W wielu przypadkach zdarza się, że licencje te lądują w szufladzie lub na dnie szafy, bo przecież: „call center nie jest nam potrzebne”. Szkoda, gdyż spektrum zastosowań systemu UCCX jest znacznie szersze i wykracza poza zakres określony jego nazwą. W niniejszym artykule chcielibyśmy podzielić się z czytelnikami doświadczeniami związanymi z realizacją różnego rodzaju usług IVR za pomocą darmowego pakietu UCCX. Unified Contac t Center Express jest zintegrowanym narzędziem, przeznaczonym do obsługi połączeń g łosowych, wiadomo ś c i email i wywołań WWW/HTTP. Składa się trzech zasadniczych części: •IVR (Interactive Voice Response) – środowisko wykonywania skryptów implementujących logikę; będzie to główny obszar zainteresowania niniejszego artykułu; •ACD (Automatic Call Distribution) – podsystem realizujący rozpraszanie połączeń w grupie agentów w r a z z k o mp le t e m ap lik a c ji współpracujących; •RTR /HR (Real Time Reporting/ Historical Reporting) – system raportowania bieżącego i historycznego. 42 W wersji podstawowej system może być zainstalowany na pojedynczym serwerze fizycznym lub wir tualnym . Opc jo nalnie możliwe jest uzupe ł nienie o dodatkowy serwer przejmujący funkcję serwera podstawowego w razie jego awar ii. Maksymalna możliwa Rys. 1. Unified Contact Center Express pojemność systemu to: 400 kanałów IVR i 400 agentów Interesującą cechą promocyjnej licencji w przypadku serwera wirtualnego lub (wersja Enhanced) jest to, że porty 300 kanałów IVR i 300 agentów dla IVR nie są licencjonowane. Innymi serwera fizycznego. Całość jest ściśle słowy mając licencję na minimalną zintegrowana z systemem Unified ilość agentów (5 szt.) mamy do dyspoCommunications Manager (rysunek 1). zycji maksymalną iloś ć por tów Integrujemy przyszłość® Numer: II/2013 (123) Rys. 2. Cisco Unified CCX Editor obsługiwaną przez daną platformę sprzętową (lub wirtualną). Stwarza to idealne warunki do budowy taniej platformy IVR dla firmy lub organizacji. Podsystem IVR jest środowiskiem wykonującym zaprojektowaną przez administratora logikę w kontekście połączenia. Skrypt jest formą programu r e a li z owa ne go w o dp owie d z i na nawiązanie połączenia. Do jego tworzenia służy specjalny edytor instalowany na stacji administratora (rysunek 2). Do dyspozycji mamy różnego rodzaju polecenia (ang. steps), zarówno znane z innych języków programowania (Set, If, Goto, Switch, Call Subflow, End), jak i specyficzne dla IVR (Play Prompt, Get Digit String, Menu i inne). Dodatkowo możliwe jest użycie w skryptach własnych bibliotek klas języka Java. Zastosowanie takiego podejścia daje praktycznie nieskończone możliwości konstrukcji logiki. W dalszej części artykułu omówione zostanie kilka przykładów różnego rodzaju logik, których zastosowanie dalece odbiega od typowego systemu Call Center. zasada działania jest następująca: po nawiązaniu połączenia na numer dowiązany do skryptu jest on uruchamiany począwszy od kroku ‘Start’. Po zaakceptowaniu po ł ąc zenia odgrywana jest zapowiedź powitalna zawar t a w pliku welcome .wav za pomoc ą kroku ‘Play Prompt ’. Następnie uruchamiany jest krok ‘Menu’, który odtwarza komunikat o dostępnych opcjach menu i oczekuje na naciśnięcie pojedynczej cyfry. Jeżeli dzwoniący wybierze cyfrę odpowiadającą danej opcji, skrypt jest kontynuowany od odpowiadającej jej zakładki. Po wybraniu opcji połączenie jest przekierowywane na odpowiedni numer telefonu przy pomocy polecenia ‘Call Redirect’. Jeżeli transfer zostanie przeprowadzony poprawnie skrypt kończy działanie, w przeciwnym wypadku odtwarzany jest komunikat o błędzie i połączenie jest przerywane. P r os t e , pr awda . . . ? Oc z ywi ś c ie powyższy skrypt może być napisany bardziej optymalnie, ale zasada działania pozost aje t aka sama . W szczególności możliwe jest lepsze obsłużenie sytuacji, gdy przekazanie połączenia do danego działu nie uda się z różnych przyczyn. Poczta głosowa K o le jny p r z yk ł a d t o f u nk c j o nalność poczty głosowej. Załóżmy, że wymagane jest rozbudowanie naszego przykładu o możliwoś ć pozostawienia wiadomości głosowej w sytuacji, gdy połączenie zostanie nawiązane poza godzinami pracy. Dodatkowo chcemy, aby wiadomości Rys. 3. Skrypt realizujący przykładowy głosowe wysyłane były na skrzynki scenariusz dla automatycznego e-mail różne dla różnych działów. recepcjonisty Normalnie konieczne byłoby zastosowanie dodatkowego urządzenia Wymagany scenariusz jest następujący: realizującego funkcję poczty głosowej, chcemy, aby po połączeniu się Klienta np. Unity Connec tion lub Unity z numerem głównym firmy system Express. Możliwe jest jednak zaimpleodeg r a ł z apowied ź powit alną , mentowanie identycznej funkcji a następnie poprosił o wybranie za pomocą UCCX. pojedynczej cyfry w celu połączenia Fragment skryptu realizującego się z odpowiednim działem, np. 1 – to zadanie przedstawiono na rysunku Automatyczny recepcjonista zamówienia, 2 – księgowość, 3 – serwis, 4. Na wstępie, za pomocą kroków itd. Chcemy również, aby po wybraniu ‘Day of Week’ i ‘Time of Day’, program Jako pierwszy przypadek weźmy zera lub w przypadku niewybrania sprawdz a c z y c z as nawią z ania pod uwagę funkcjonalność automa- żadnej opcji następowało połączenie połączenia mieści się w harmonogramie pracy danego działu. Jeżeli t y c z n e g o r e c e p c j o n i s t y . J e s t z operatorem. to najc zę ściej implementowany Skrypt realizujący powyższą logikę tak, program dokonuje przekieroprzypadek uż ycia systemu IVR . przedstawiono na rysunku 3. Jego wania według logiki z poprzedniego Biuletyn Informacyjny SOLIDEX® 43 rozwiązania przykładu. Jeżeli nie, wykonywana jest dalsza czę ść skryptu pozwalająca na pozostawienie wiadomości głosowej. Do realizac ji funkc ji nagrywania zastosowano polecenie ‘Recording’, które odtwarza zapowiedź zachęty oraz nagrywa dźwięk o zadanej maksymalnej długości. Kolejnym krokiem jest wysłanie e-maila z załącznikiem zawierającym nagranie. Ponieważ w wersji licencji Enhanced nie ma polecenia pozwalającego na wysłanie e-maila (wymagana byłaby rozbudowa do wersji Premium), wykorzystana została możliwość wywołania ze skryptu zewnętrznej klasy języka Java. Daje to możliwość omini ę c ia og r anic ze ń wynik a jących z wersji zastosowanej licencji. Wysłanie wiadomości odbywa się w dwóch krokach: najpierw nagranie zapisywane jest w pliku tymczasowych poleceniem ‘ Write’, a następnie wywoływana jest metoda send( ) klasy com.solidex.przykład2.emailGateway. Klasa taka została napisana i załadowana do systemu UCCX. Jeżeli przesyłka została wysłana poprawnie skrypt kończy działanie, jeżeli nie – odgrywany jest komunikat o błędzie. W ten sposób moż na znac z ąco og r anic z y ć ko s z t y , eliminują c konieczność zakupu dodatkowego serwera poczty głosowej. Przykład ilustruje dużą elastyczność platformy UCCX. W sytuacji, gdy jakaś funkcjonalność nie jest dostępna można ją dodać w postaci własnego kodu w języku Java. Prawdziwy szwajcarski scyzoryk... Ostatni przykład jest dużo bardziej skomplikowany. Ponownie rozbudujemy logikę z pierwszego przykładu. Tym razem wymagane jest aby dzwoniący K lient był roz po znawany według jego numeru telefonu. Jeżeli dana osoba znajduje się w bazie (np. systemu C R M) i ma przypisanego opiekuna, to program powinien połączyć dzwoniącego Rys. 4. Fragment skryptu realizującego zadanie poczty głosowej bezpośrednio z jego opiek unem . Je ż eli Klient nie znajduje się w bazie lub Zakładamy, że w razie problemów opiekun nie odbierze telefonu, należy skrypt będzie przekazywał połączenia go połączyć z numerem ogólnym na numer ogólny. działu. Następnym etapem jest pobranie inforW tym przypadku konieczne jest macji o numerze osoby dzwoniącej napisanie programu, który będzie (ang. ANI) i przesłanie tej informacji wymieniał informacje z systemem do serwera CRM. Jest to dokonywane zewnętrznym. Skorzystamy tutaj za pomocą poleceń odpowiednio z możliwości nawiązywania sesji ‘Get Call Contact Info’ i ‘Create URL HT TP z zewnętrznymi serwerami Document’. Otrzymany dokument W W W oraz możliwości przetwa- jest analizowany za pomocą polecenia rzania i edycji dokumentów XML . ‘Create XML Document’. Jeżeli składnia Skrypt będzie generował zapytanie jest poprawna, program pobiera dane do serwera W W W systemu CRM opiekuna za pomocą polecenia ‘Get zawierające numer telefonu Klienta, XML Document Data’. Jako język a ser wer w odpowiedzi bę dzie zapytania używany jest język XPath przesyłał dokument XML zawie- pełniący w rodzinie standardów XML rający informacje o opiekunie Klienta analogiczną rolę jak SQL przy dostępie (w szczególności numer jego telefonu). do baz danych. Oczywiście konieczne jest zaimple- Uzyskany numer telefonu opiekuna mentowanie w jakiś sposób takiego jest przezywany do polecenia ‘Call serwera, ale temat ten wykracza poza Redirect’. W przypadku nieudanego zakres niniejszego artykułu. przekierowania połączenie przysyłane Rozpoznanie dzwoniącego Zmodyfikowany fragment skryptu jest na numer ogólny działu i skrypt realizujący powyższy kończy działanie. algor ytm przeds t a w i o n y z o s t a ł Przedstawione przykłady oczywiście n a r y s u n k u 5 . nie wyczerpują możliwych zastoNa wstępie ustawiono, sowań modułu IVR systemu UCCX, za pomocą polecenia ale pozwalają uzmysłowić sobie, jak ‘ O n E x c e p t i o n ’ , uniwersalnym narządzeniem jest obsługę wyjątków to oprogramowanie. W dobie integracji związanych z opera- metod komunikacji i systemów inforc jami sie c iowymi matycznych Unified Contact Center dostępu do serwera Express jest doskonałą propozycją W W W. W skrócie w zakresie systemów IVR małych c ho d z i o t o , ab y i średnich. Może warto jednak zajrzeć w przypadku błędu na dno szuflady...? komunikac ji z serwerem skrypt D.P. IVR nie uległ niekonInżynier SOLIDEX Rys. 5. Fragment skryptu realizującego algorytm pozwatrolowanej awarii. lający na rozpoznanie dzwoniącego 44 Integrujemy przyszłość® Numer: II/2013 (123) Elastycznie, bezpiecznie, wydajnie – rozwiązanie autorskie Solidex w zakresie udostępniania zasobów sieciowych dla gości Każdy, kto gościł w jakiejkolwiek instytucji, czy to biznesowo np. jako wdrożeniowiec, czy handlowiec, czy to nawet jako zwykły klient, chciałby mieć możliwość skorzystania z zasobów sieciowych danej organizacji. Z reguły w takich przypadkach słyszał, że albo się nie da, albo musiał czekać aż administrator poprzepina kable w serwerowni, żeby możliwe było tymczasowe z reguły skorzystanie z dostępu do sieci. W niniejszym artykule zostaną opisane sposoby radzenia sobie przez firmy z tego typu niedogodnościami, jakie daje możliwość połączenia urządzeń Cisco z oprogramowaniem autorskim SOLIDEX o nazwie SOLID.poli-server, dzięki któremu udostępnianie własnych zasobów sieciowych jest łatwe, wygodne, a przy tym bezpieczne. Jak wspomniano powyżej, głównym celem biznesowym opisywanego systemu jest możliwość nadawania tymczasowego dostępu do sieci dla osób spoza organizacji, z założenia nie mających stałego podłączenia do sieci korporacyjnej (lub udostępnianej komercyjnie). Najczęstszą i najbardziej oczywistą potrzebą zachodzącą w relacjach biznesowych jest nadanie dostępu do Internetu, jednak coraz częściej tego typu rozwiązanie przydaje się tak że, jeśli zachodzi potrzeba udostępnienia innych usług, jak np. prezentacja wersji demo oferowanych produktów wymagających złożonej infrastruktury sieciowej, serwerów plików, c zy lokalnych zasobów informacyjnych. Zastosowanie systemu SOLID.poli-server jest możliwe dla sieci różnej skali wielkości (rozumianej jako ilość węzłów) – średniej wielkości (np. udostępnianie Internetu dla gości sieci hoteli, czy też dla kontrahentów odwiedzających przedsiębiorstwo), jak również dla dużych operatorów telekomunikacyjnych (świadczenie usług dla swoich klientów). Działanie systemu nie sprowadza się jednak wyłącznie Biuletyn Informacyjny SOLIDEX® do prostego udostępnienia zasobów, ponieważ taki efekt można by osiągnąć za pomocą różnych usług jak chociażby FTP, Reverse proxy itp. Prawdziwą wartość systemu można docenić, kiedy zachodzi potrzeba bardziej zaawansowanych metod zarządzania ruchem sieciowym, przy jednoczesnym dużym wolumenie obsługiwanego ruchu. System oferuje możliwości bardzo elastycznego kształtowania polityk udzielania tego dostępu. Można definiować limity (czasowe i ograniczone wolumenem przesłanych danych), zasoby ograniczane za pomocą 45 rozwiązania Rys. 1. Architektura rozwiązania opartego o Cisco ISG i serwer AAA ACL, możliwość definiowania QoS itp. Bardzo istotna jest także możliwość zdefiniowania us ł ug , k tóre nie wymagają wc ze ś niejs zego uwie r z y t elnie nia , c o p oz wa la na wyświetlanie treści marketingowych i informacyjnych zanim gość będzie miał możliwość skorzystania z zasobów objętych kontrolą dostępu. Z drugiej strony system bardzo upraszcza zarządzanie dostępem. Jest on wyposażony w mechanizmy zarządzania użytkownikami korzystającymi z sieci, a także ma możliwości integracji z zewnętrznymi źródłami danych, zarówno w zakresie danych wejściowych (np. import/synchronizacja użytkowników z zewnętrznymi źródłami danych jak np. bazy danych, usługi sieciowe), jak również w zakresie danych wyjściowych (np. możliwość udostępnienia usługi sieciowej umożliwiającej integrację z zewnętrznymi urządzeniami jak np. drukarka fiskalna, bramka SMS wysyłając a has ło dostępowe na telefon komórkowy itp.). Przy tych wszystkich cechach decydujących o elastyczności rozwiązania, bardzo istotną właściwością systemu 46 jest bezpiec zeństwo, k tóre jest zapewniane przez wewnętrzne mechanizmy routera, dzięki czemu ryzyko wystąpienia potencjalnych luk bezpieczeństwa zostaje zminimalizowane. Ostatnią bardzo istotną cechą systemu jest sposób uwierzytelnienia gości chcących uzyskać dostęp do zasobów sieciowych. Korzystanie z systemu przez użytkowników końcowych nie wymaga od nich instalowania żadnych agentów, wtyczek czy jakiegokolwiek dodatkowego oprogramowania klienckiego. Do skorzystania z bramy dostępowej do usług wystarczy przeglądarka internetowa, gdyż oprogramowanie realizujące proces uwierzytelnienia jest rozwiązaniem typu Captive Portal, które pozwala na realizację procesu uwierzytelnienia z wykorzystaniem protokołu HTTP/ HTTPS. Architektura rozwiązania W skład systemu SOLID.poli-server wchodzą: •router Cisco z funkcją Intelligent Services Gateway, Integrujemy przyszłość® •s e r w e r A A A F r e e R A D I U S z modułami autorskimi SOLIDEX, •policy server (JBoss Application server z modułami), •relacyjna baza danych, •moduł dystrybuujący kody dostępu do systemu (np. bramka SMS). Głównym elementem całego rozwiązania jest router z możliwością dynamicznego wyboru usług pod nazwą Intelligent Services Gateway, k t ór y je s t na s t ę p c ą s t ar s zego oprogramowania Service Selection Gateway. Zapewnia on funkcjonalności pozwalające na świadczenie na rzecz uwierzytelnionych użytkowników pewnych usług sieciowych, które dostarczane są na podstawie predefiniowanych zestawów polityk. Polityki definiowane są w taki sposób, że projektant może za pomocą dyrektyw konfiguracyjnych zadecydować, jakie parametry mają mieć serwisy sieciowe dostępne użytkownikowi w czasie trwania sesji, a także pozwala zaplanować jakie działania podjąć, kiedy w trakcie czasu trwania sesji zajdą określone zdarzenia, a także co powinno się stać po zakończeniu Numer: II/2013 (123) sesji. Można więc reagować na różne zdarzenia typu rozpoczęcie sesji, pomyślne przejście procesu uwierzytelnienia, wylogowanie użytkownika, przekroczenie dopuszczalnego limitu itp. Definicja polityki określa zarówno serwisy, z jakich użytkownik może korzystać, jak również klasy ruchu, które podlegają określonej polityce. Jakkolwiek konfiguracja ISG daje projektantowi bardzo mocne narzędzie do kreowania zaawansowanych polityk, to jednak siłę rozwiązania można docenić w momencie, kiedy zaczniemy nim sterować za pomocą interfejsu CoA (Change of Authentication) zgodnego z RFC 5176, który pozwala dynamicznie zarządzać serwisami użytkownika na podstawie określonych parametrów, odpytywać ISG o stan sesji lub informować o tym, czy ewentualny limit przyznany użytkownikowi w ramach sesji nie został przekroczony. Serwer FreeR ADIUS jako jedno z najlepszych na rynku rozwiązań typu AAA ma jedną bardzo istotną zaletę. Będąc oprogramowaniem wydawanym na zasadach Open Source, a także udostępniając interfejs programistyc z ny do twor zenia w ł a s nyc h m o du ł ów, p oz wa la na dostosowanie go do własnych wymagań praktycznie do granic możliwości, a jednocześnie daje komfort pewności, że nie wykroczy się poza granice protokołu. FreeRADIUS jest jednym z najpopularniejszych rozwiązań tej klasy na rynku, sprawdzając ym się w wymagając ych środowiskach o bardzo du ż ych wolumenac h t r ansfer owanyc h danych. Jego rolą jest pośredniczenie pomiędzy a ISG, a aplikacją Policy Server zainstalowaną na serwerze aplikacyjnym JBoss Application Server 7. Aplikacja sterująca stanowi centrum zarządzania systemem. To w tym miejscu zaimplementowana została l o g ik a p r z e t w a r z a n i a d a ny c h użytkowników, definiowanie zawartości komunikatów CoA, kontrola czasu trwania sesji itp. Dzięki takiemu podejściu można więc w bardzo elastyczny sposób odseparować od siebie zakresy odpowiedzialności poszczególnych komponentów rozwią zania, c o pr zek ł ada się na ł atwiejsze z a r z ad z a nie , adminis t r owa nie i ewentualną rozbudowę systemu. Przebieg sesji W przedstawionym scenariuszu zakładamy, że użytkownik podłączył się do sieci (może to być zarówno podłączenie kablowe, jak również bezprzewodowe), zaś sama sieć jest skonfigurowana w taki sposób, że jego żądania sieciowe będą kierowane przez ISG. Standardowy scenariusz pracy z SOLID. poli-server rozpoczyna się w momencie, kiedy użytkownik zażąda dostępu do z a s ob ów sie c iowyc h , c z yli przykładowo w swojej przeglądarce internetowej wpisze adres np. http:// www.solidex.com.pl . W momencie kiedy pierwszy pakiet trafi do routera z ISG, tworzona jest sesja użytkownika (w terminologii ISG nazwanego subskrybentem), w ramach której przekierowany przy próbie uzyskania dostępu do zasobów chronionych oraz adres usługi A A A (Authentication, Authorization, Accounting), którego rolą jest kontrola uprawnień. Zakładając, że aktualnie przetwarzane żądanie znajduje się w puli zasobów dostępnych po uwierzytelnieniu, ruch użytkownika zostaje przekierowany do Captive Portalu, który wysyła do ISG zapytanie o status sesji za pomoc ą zapyt ania C oA Session Query, w którym weryfikuje status sesji. Po uzyskaniu informacji, że zasób wymaga uwierzytelnienia i jednocześnie sesja subskrybenta ma status „nieuwierzytelniony”, Captive Portal wykona przekierowanie do formatki służącej do uwierzytelnienia. W najprostszym scenariuszu zakładamy, że użytkownik otrzymał kod z hasłem jednorazowym wydrukowany z zewnętrznego systemu. W formularzu uwierzytelniania Przy tych wszystkich cechach decydujących o elastyczności rozwiązania, bardzo istotną właściwością systemu jest bezpieczeństwo, które jest zapewniane przez wewnętrzne mechanizmy routera, dzięki czemu ryzyko wystąpieniapotencjalnych luk bezpieczeństwa zostaje zminimalizowane. pierwszym krokiem jest udostępnienie usług dostępnych bez konieczności uwierzytelnienia. Zestaw usł ug startowych przypisywanych na starcie nieuwierzytelnionemu użytkownikowi jest pierwszym miejscem, w którym podejmowane są decyzje o charak terze technic zno -bizne sowym. W tym miejscu decyduje się jaki charakter ruchu jest niezbędny dla prawidłowego funkcjonowania ruchu sieciowego (DHCP, DNS), jaki zakres usług będzie udostępniany przed uwierzytelnieniem (np. strona dostępowa do korporacyjnej strony internetowej, czy też do wewnętrznego intranetu z informacjami przeznaczonymi dla gości). Tak że w tym miejscu definiuje się adres sieciowy portalu do uwierzytelniania (Captive Portal), na który użytkownik jest Biuletyn Informacyjny SOLIDEX® użytkownik musi wpisać otrzymane hasło i po wykonaniu akcji uwierzytelnienia sterowanie zostaje zwrócone do ISG, które przekazuje zapytanie uwierzytelniające do usługi A A A zaimplementowanej na serwerze FreeR A DIUS . Jak wspomniano w punkcie „Architektura rozwiązania”, rolą serwera RADIUS jest wyłącznie funkcja komunikacyjna, dlatego też cała logika przetwarzania zapytań zostaje oddelegowana do Policy Servera udostępnionego przez serwer aplikacyjny JBoss za pomocą protokołu SOAP. Po przekazaniu wpisanego kodu usługa weryfikuje w wewnętrznych źródłach danych wszelkie biznesowe reguły, czyli takie informacje jak poprawność kodu, rodzaje predefiniowanych usług, z jakich może korzystać użytkownik, przyznane limity dla 47 rozwiązania danego kodu, poziom wykorzystania limitów itp. Wszystkie te informacje są uzyskiwane z profilu, jaki został skojarzony z kodem podanym przez użytkownika. Dzięki takiemu podejściu można tworzyć dowolne profile i kojarzyć je z odpowiednimi pulami kodów jednorazowych, dzięki czemu po poprawnej weryfikacji kodu przez usługę webservice, do usługi AAA zostanie odesłany komplet informacji o tym, w jaki sposób ISG powinno ustawić parametry połączenia dla danej sesji. Odpowiedź jest przekazywana za pomocą interfejsu CoA do ISG. W przypadku udanego uwierzytelnienia, serwer RADIUS odpowiada statusem Access-Accept i w tej samej odpowiedzi odsyła w odpowiednich parametrach informacje o profilu użytkownika, zawierające listę usług zdefiniowanych na ISG, które powinny zostać aktywowane dla danej sesji. Dla rozpatrywanego przypadku dodatkowo zostanie wysłana informacja o przyznanym limicie transferu, jako że założeniem projektu usług było przyznawanie limitu transferu w zależności od puli, do jakiej przynależy dany kod jednorazowy. Po przypisaniu przez ISG odpowiedniego zestawu dostępnych usług, od sesji powinna zostać odłączona reguła, nakazująca kierowanie wszystkich zapytań nieuwierzytelnionych do portalu uwierzytelniającego. Definiowanie polityk na ISG jest bardzo elastyczne, ponieważ oprócz możliwości wysterowania za pomocą serwera RADIUS, istotna część polityk 48 bazuje na występowaniu określonych zdarzeń w systemie. Możliwe jest takie wymodelowanie polityki, aby niezależnie od parametrów przesłanych przez CoA, pewne akcje na ISG były uruchamiane zawsze. Pozwala to zdefiniować zestaw usług startowych, które są ładowane na starcie, za pomocą obsługi zdarzenia session-star t , o k r e ś li ć z ac how a nie s y s t e mu po zajściu zdarzenia uwierzytelnienia (account-logon), zastosować odpowiednie reguły w momencie wystąpienia przekroczenia czasu trwania sesji (timed-policy-expiry) itp. W przedstawionym wyżej scenariuszu zaprezentowany został model rozliczania na podstawie kodu wybranego z puli dostępnych opartego na rozliczaniu tzw. prepaid. System daje jednak możliwości pracy także z nazwanymi użytkownikami (np. abonentami), gdzie polityki rozliczania są zbudowane inaczej, niż w przypadku usług przedpłaconych. Możliwe jest wówczas uwierzytelnienie użytkowników w oparciu o parę użytkownik/hasło, można dodatkowo zabezpieczyć proces uwierzytelnienia za pomocą haseł jednorazowych wysyłanych na telefon komórkowy abonenta. Istotną częścią każdego systemu, zajmującego się przydzieleniem dostępu do sieci jest umożliwienie rozliczania sesji swoich subskrybentów. Wiąże się to zarówno z rozliczaniem klientów w sytuacji komercyjnego udost ę pniania pewnych us ł ug w ramach wykupionego abonamentu, jak również z obsługą potencjalnych Integrujemy przyszłość® reklamacji. Podstawowym źródłem informacji rozliczeniowych są logi accountingowe serwera R ADIUS, które mogą być zbierane globalnie, osobno dla każdej usługi, czy wręcz pogrupowane według określonych parametrów. Wraz z systemem dostarczane jest narzędzie do transformacji logów do formatów wymaganych przez różne narzędzia służące do rozliczania. Można uznać, że moduł ten stanowi klamrę spinającą wszystkie funkcjonalności dostarczane przez system i jednocześnie czyni ten system kompletnym, realizującym w sposób wyczerpujący zadania przed nim stawiane. W niniejszym opracowaniu przedstawiono koncepcję rozwiązania problemu udostępniania sieciowej infrastruktury dla gości. Mimo, że rozwią zanie st anowi zwar ty system, to jednak pozostaje on otwarty w zakresie integracji, dostępnych metod uwierzytelniania, czy rozliczania. System jest więc wszechstronnym narzędziem pozwalającym gościom skorzystać z zasobów posiadanych przez organizacje, a jednocześnie chroni przed potencjalnymi nadużyciami. Pozostaje tylko odpowiedź na pytanie: „Czy mamy taką potrzebę biznesową?”. Wydaje się jednak, że wcześniej czy później odpowiedź na to pytanie będzie twierdząca. K.S. Inżynier SOLIDEX Numer: II/2013 (123) Bezpieczeństwo danych z McAfee Endpoint Encryption Utrata poufnych danych stanowi w obecnych czasach realne zagrożenie dla ludzi na całym świecie. W ankiecie przeprowadzonej w 2007 roku przez Ponemon Institute 85% respondentów potwierdziło, że w ich firmach miały miejsce przypadki złamaniazabezpieczeń i wycieku danych. Zgodnie z danymi Instytutu, średniawielkość kosztów ponoszonych w przypadku tego typu zdarzeń wynosiła 6,3 miliona dolarów. Odpowiednie zabezpieczenie danych przed utratą staje się sprawą priorytetową. McAfee Endpoint Encryption EEPC jest oprogramowaniem służącym do szyfrowania danych. Wykorzystuje ono silny algorytm szyfrowania AES-256 oraz rygorystyczną kontrolę dostępu, w celu uniemożliwienia nieupoważnionego wglądu do danych znajdujących się w komputerach stacjonarnych, laptopach, tabletach PC, smartfonach i palmtopach, także urządzeniach USB. Oprogramowanie to umożliwia pełną ochronę krytycznych danych firmy. Rozwiązanie wykorzystuje kontrolę dostępu z uwierzytelnianiem pre-boot tuż przed zainicjowaniem systemu operacyjnego tak, aby nikt niepowołany nie dostał się do systemu za pomocą narzędzi pomijania autentykacji lub alternatywnych urządzeń inicjujących system. Szyfrowanie i rozszyfrowywanie z udziałem McAfee to proces niezauważalny dla użytkownika wykonywany „w locie”. bez żadnego negatywnego wpływu na działanie urządzeń. Mc A fe e E ndp oin t E nc r yp t ion doskonale integruje się z istniejącymi systemami posiadanymi przez daną organizację oraz zapewnia sprawność operacyjną znacznie obniżającą łączny koszt posiadanego systemu. EEPC znacząco zmniejsza możliwość utraty danych poprzez odpowiednie zabezpieczenia oraz spełnia wymagania przepisów prawnych, stosując pełny zakres rozwiązań zabezpieczających i szyfrujących, które są zarządzane za pomocą jednej centralnej konsoli. Oprogramowanie zapewnia funkcje zarządzania centralnego, obejmujące Biuletyn Informacyjny SOLIDEX® administrację, centralne wdrażanie, zdalne aktualizacje, zarządzanie wymaganą polityką bezpieczeństwa, narzędzia skryptowe, odzyskiwanie danych, synchronizację itd. Rozbudowane funkcje raportowe pokazują czy urządzenie było zaszyfrowane, gdy zostało zgubione lub skradzione, co zapewnia zgodność z obowiązującymi przepisami. Obowiązkowe polityki bezpieczeństwa mogą być przejrzyście wdrażane przez administratorów. McAfee Endpoint Encryption obsługuje także pojedyncze logowanie SSO oraz bezpieczne odzyskiwanie hasła użytkownika w przypadku m.in zablokowania konta. Dostępność pełnego audytu zapewnia zgodność z podejściem „Safe Harbor”, które sprawia, że ze względu na zaszyfrowanie danych, zgubienie laptopa lub urządzenia USB nie powoduje wycieku 49 rozwiązania z a pomoc ą ePolic y Orchestrator służący do komunikacji pomiędzy stacją komputerową, a systemem zarz ądzania . Dzięki agent owi Mc A fee możliwe jest otrzymywanie oprogramowania, jego aktualizacja oraz zmiany polityk bezpiec z e ń s t wa na s t ac ji komputerowej. Rysunek 1 przedRys.1. Autentykacja użytkownika z włączoną funkcją stawia autentykację pre-boot użytkownika podczas logowania do systemu z wdrożonym oprogradanych ani publicznego ujawnienia mowaniem McAfee. W pierwszej fazie informacji. użytkownik musi wpisać swoje dane i hasło. Po poprawnym uwierzytelKomponenty systemu nieniu użytkownika następuje etap McAfee logowania do zwykłego systemu Poniżej został przedstawiony krótki operacyjnego Windows. Ze względów opis poszczególnych komponentów bezpieczeństwa istnieje możliwość systemu Mc Afee. Bardziej szcze- ograniczenia liczby nieprawidłowych gółowe informacje na ich temat można logowań do systemu skutkująca znaleźć w dokumentacji produktu oraz w przypadku niepowodzenia zablokowaniem konta oraz niemożliwością na stronach producenta. odszyfrowania danych. Komponenty systemu McAfee: ePolicy Orchestrator – scentrali- Za pomocą produktu McAfee ePolicy zowany system zarządzania służący Orchestrator można zarządzać, tworzyć do dystrybucji oprogramowania oraz przypisywać indywidualne bezpieczeństwa, zarządzania stacjami polityki do komputerów, czy użytkowników (rysunek 2). W politykach końcowymi, raportowania. EEPC – oprogramowanie służące definiuje się reguły zarządzania do szyfrowania komputerów, zawiera komputerem nadając mu odpowiednie odpowiednie rozszerzenia w celu uprawnienia. System ten umożliwia również generowanie raportów czy integracji z ePolicy Orchestrator. McAfee Agent – agent instalowany zdalną dystrybucję oprogramowania na stacjach roboczych typu komputer McAfee. McAfee posiada również w swojej bogatej ofercie EEFF czyli endpoint enc r yption for files and folders. Rozszerzenie to instaluje się również na serwerze eP O i dys t r ybuuje oprogramowanie na st ac je końc owe . Dzięki temu zyskuje się możliwość szyfrowania urządzeń mobilnych typu pendrive, płyt CD/ DVD. Jest to również ciekawa alternatywa szyfrowania wybranych miejsc na komputerze np. zamiast szyfrować całą Rys.2. Polityki EEPC w konsoli ePO 50 Integrujemy przyszłość® stację roboczą, wszystkie jego dyski, chcemy zabezpieczyć tylko konkretny folder lub foldery na naszych stacjach końcowych znajdujące się w wybranej lokalizacji na komputerze. Nowości 2013 W najbliższym czasie pojawią się najnowsze produkty producenta oferujące jeszcze więcej funkcjonalności: McAfee EPPC 7.0, ePO 5.0, McAfee EEFF W zakresie EPPC 7.0 nowości to: •integracja z technologią Intel AMT, •wsparcie dla systemów operacyjnych Windows 8, •zwiększona wydajność, •aktywacja offline, •ułatwienia w procesach recovery, •sprawdzanie systemu za pomocą healthcheck. Dla ePO 5.0 nowości obejmują: •funkcjonalnoś ć porównywania polityk, •łatwiejsza nawigacja, •snapshot konfiguracji, •usprawnienie wdrażanie produktów, •nowy wygląd, •zwiększona wydajność. Natomiast w przypadku EEFF 4.1 nowymi elementami są: •zwiększona wydajność, •raportowanie wykorzystywania urządzeń, •reguły dotyczące haseł dostępu do urządzeń. Opracowano na podstawie oficjalnych materiałów producenta oraz własnych testów: www.mcafee.com M.P. Inżynier SOLIDEX Program SOLIDEX Autoryzowane Szkolenia Cisco Systems ® ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 CCNAX Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ! ROUTE Implementing Cisco IP Routing SWITCH TSHOOT Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks BGP MPLS QOS IINS SECURE FIREWALL VPN Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Securing Networks with Cisco Routers and Switches v1.0 Deploying Cisco ASA Firewall Features Deploying Cisco ASA VPN Solutions CIPT1 Implementing Cisco Unified Communications Manager Part 1 v8.0 CIPT2 Implementing Cisco Unified Communications Manager Part 2 v8.0 CWLMS IP6FD Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment IUWNE Implementing Cisco Unified Wireless Networking Essentials DESGN Designing for Cisco Internetwork Solutions NOWOŚĆ! ARCH Designing Cisco Network Service Architectures NOWOŚĆ! Infolinia: 800 49 55 82 Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 Kraków www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl