Provider-1 wielodomenowy system zarządzania bezpieczeństwem

Transkrypt

Nr II/2008
BIULETYN INFORMACYJNY SOLIDEX
ROZWIĄZANIA
Provider-1 wielodomenowy
system zarządzania
bezpieczeństwem
Wydarzenia
SOLIDEX
SOLIDEX
z certyfikatem
z certyfikatem
Cisco ATP
ATP -- Outdoor
Outdoor
Cisco
Wireless Mesh
Mesh
Wireless
TECHNOLOGIE
NOWOŚCI
IronPort - systemy
antyspamowe
i antywirusowe
TANDBERG
VCS - rewolucja
w komunikacji
wideo
Gold Certified Partner
Learning Partner
Advanced Unified Communications
Advanced Technology Partner Outdoor Wireless Mesh
Advanced Wireless LAN
Advanced Routing and Switching
Advanced Security
Check Point Platinum Partner
Check Point Certified Collaborative Support Provider
Crannog Software Reseller
Principal Membership Level
Direct Solution Provider
Nokia Authorized Security Partner
TrueNorth Associate Partner
Support Services Subcontractor
F5 Premier Advantage Partner
Premium Partner
Gold Partner
Crossbeam Authorized Partner X (CAP X)
Crossbeam Accredited Service Partner
McAfee Premier Partner
RSA SecurWorld Solutions Partner
RSA SecureCare Provider
Partner Oracle Poland
HP Software Gold Partner
HP Preferred Partner
Citrix Silver Solution Advisor
Authorized Support Partner
NetApp VIP Reseller
Symantec Gold Partner
Advanced Solution Partner
Endance Authorized Distributor
Sarian Systems Value Added Reseller
Premier Partner
© SOLIDEX, 2006
2
Spis treści
Szanowni Państwo,
W niniejszym wydaniu INTEGRATORA – REVIEW prezentujemy najciekawsze artykuły, które ukazały się na łamach czterech wydań INTEGRATORA ONLINE w okresie od marca do sierpnia 2008 roku.
Mamy nadzieję, że prezentowane tematy spotkają się z Państwa zainteresowaniem.
Pragniemy przypomnieć, że INTERATOR ONLINE nie wymaga rejestracji i jest ogólnodostępny w naszym serwisie
www.SOLIDnySerwis.pl
Zachęcamy do lektury!!!
Wydarzenia
4
4
4
5
5
6
6
7
7
8
8
8
SOLIDEX - F5 Premier Advantage Partner
Centrum Kompetencyjno-Szkoleniowe na 18-lecie SOLIDEX
Wdrożenie SOLIDEX w Zakładzie Ubezpieczeń Społecznych
MPLS - nowe szkolenie w ofercie SOLIDEX
Konferencja Cisco Forum 2008 zakończona
18 lat do przodu
SOLIDEX Przejrzystą Firmą
SOLIDEX przyjacielem Festiwalu Zaczarowanej Piosenki im. Marka Grechuty
SOLIDEX zmodernizuje sieć w Komendzie Głównej Policji
SOLIDEX z certyfikatem Cisco ATP - Outdoor Wireless Mesh
SOLIDEX wdroży sieć WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego
SOLIDEX – 2. największym integratorem systemowym w Polsce w 2007 r.
NOWOŚCI
9
12
16
Rodzina Cisco ACE – nowe funkcjonalności
IronPort - systemy antyspamowe i antywirusowe
Nowoczesne systemy ochrony informacji – Imperva
TECHNOLOGIE
21
24
27
Mechanizmy bezpieczeństwa w bezprzewodowych
rozwiązaniach Cisco Systems
Fiber to the Office - Fiber to the Desk
TANDBERG VCS - rewolucja w komunikacji wideo
ROZWIĄZANIA
31
35
Provider-1 wielodomenowy system zarządzania
bezpieczeństwem
Dostarczanie i rozliczanie treści dla odbiorców
mobilnych
© SOLIDEX, 2008
Wydarzenia
SOLIDEX – F5 Premier Advantage Partner
Dnia 11 lutego 2008 roku SOLIDEX
otrzymał certyfikat F5 Networks – Premier Advantage Partner. To wyjątkowe
wyróżnienie potwierdza wysokie kompetencje naszych inżynierów w zakresie rozwiązań, służących do zarządzania dystrybucją treści w Internecie oraz
w sieciach korporacyjnych. Wychodząc
naprzeciw wzrastającym potrzebom
naszych Klientów, dbając o szybki
i łatwy dostęp do portali i aplikacji –
SOLIDEX wdraża produkty firmy F5 Networks, światowego lidera rozwiązań
służących do optymalizacji wydajności
i obciążenia aplikacji oraz sieci. Przyznany SOLIDEX status partnerski F5
Premier Advantage Partner jest świadectwem wysokich kwalifikacji w zakresie sprzedaży, wdrażania i utrzymania powyższych produktów.
Więcej informacji na temat certyfikowanych partnerów F5 Networks można znaleźć pod adresem
http://www.f5.com/partners/ .
Centrum Kompetencyjno-Szkoleniowe na 18-lecie SOLIDEX
Z okazji 18. rocznicy powstania Grupy
SOLIDEX oraz otwarcia nowego Centrum Kompetencyjno-Szkoleniowego
w Oddziale Firmy w Złotych Tarasach
w Warszawie, w dniach 6-7 marca 2008
roku odbył się cykl imprez:
Późnym popołudniem odbyła się oficjalna uroczystość otwarcia Centrum
Kompetencyjno-Szkoleniowego w Złotych Tarasach. Po prezentacji i krótkim
omówieniu celów, jakie stoją przed
•Seminarium pt. „Nowoczesny samorząd – infostrada
komunikacyjna dla regionu”
•Uroczyste otwarcie Centrum KompetencyjnoSzkoleniowego SOLIDEX
w Złotych Tarasach
•Wieczór „SOLIDEX Mimo
Wszystko!” z udziałem m.in.
BUDKI SUFLERA oraz Kabaretu OT.TO.
W trakcie seminarium zaprezentowaliśmy
nowoczesne
rozwiązania, służące do tworzenia
efektywnej infrastruktury IT w regionie. Cieszymy się, że nasze prezentacje
zostały przyjęte z dużym zainteresowaniem, a tematyka spełniła oczekiwania naszych Gości.
szył specjalny gość Felicjan Andrzejczak, odbyła się aukcja unikalnych
przedmiotów na rzecz Fundacji Anny
Dymnej „Mimo Wszystko”. Pieniądze
uzyskane podczas aukcji zostaną przeznaczone na budowę Ośrodka Rehabilitacyjno-Terapeutycznego dla
Osób Niepełnosprawnych w Radwanowicach „Dolina Słońca”.
Niezapomniana atmosfera wieczoru udzieliła się wszystkim
uczestnikom,
pozostawiając
miłe wspomnienia.
Serdecznie dziękujemy za liczne przybycie i udział w specjalnej aukcji podczas wieczoru
„SOLIDEX Mimo Wszystko!”
nowym Centrum, uczestnicy wznieśli
symboliczny toast.
Wieczór „SOLIDEX Mimo Wszystko!”,
który miał miejsce w Klubie Mirage,
obfitował w liczne atrakcje. Oprócz
występu Kabaretu OT.TO i ponadczasowej BUDKI SUFLERA, której towarzy-
Zapraszamy na kolejne jubileuszowe
spotkanie z Firmą SOLIDEX!
Więcej informacji na stronie
www.mimowszystko.SOLIDEX.com.pl
Wdrożenie SOLIDEX w Zakładzie Ubezpieczeń Społecznych
SOLIDEX zakończył realizację zamówienia dla Zakładu Ubezpieczeń Społecznych w Warszawie. Projekt obejmował
dostawę i wdrożenie urządzeń wraz
z oprogramowaniem do odtwarzania
zasobów sieci LAN/WLAN w centrali
Zakładu.
W ramach kontraktu dostarczono router serii Cisco 7609, urządzenia ASA
z modułami IPS oraz routery Cisco ISR
serii 2800 i 3800. Całość dostarczonych
urządzeń została objęta szybkim serwisem gwarancyjnym, świadczonym
przez SOLIDEX.
Wieloletnie doświadczenie Firmy w zakresie wdrażania i zarządzania projektami gwarantuje naszym Klientom doskonałą opiekę techniczną i wsparcie
na każdym etapie realizowanych przez
nas inwestycji.
INTEGRATOR REVIEW (iI/2008)
4
Wydarzenia
Konferencja Cisco Forum 2008 zakończona
W dniach 2-4 kwietnia 2008 roku
w Hotelu Kasprowy w Zakopanem
odbyła się dziesiąta jubileuszowa
konferencja Cisco Forum. Jak co roku,
SOLIDEX wziął udział w tym wydarzeniu jako Partner Złoty.
Program konferencji został podzielony na pięć ścieżek, związanych
z tematyką Cisco Unified Communications, Cisco Security, Cisco Service
Provider a także Routing & Switching
oraz Cisco Data Center.
SOLIDEX, jako firma posiadająca
najwyższy status partnerski Gold
Certified Partner w ramach złotego
pakietu sponsorskiego konferencji
Cisco Forum 2008, przygotował dla
wszystkich zainteresowanych ciekawy wykład techniczny, dotyczący
protokołu IP w wersji szóstej. W ramach wystąpienia prelegent omówił
m.in. dlaczego warto implementować
IPv6, przedstawił podstawy adresacji
i praktyczny przegląd protokołów routingu IPv6, a także zaprezentował
techniki wzajemnej współpracy IPv4
i IPv6.
Tegoroczne spotkanie było okazją
do wymiany cennych doświadczeń
z przedstawicielami SOLIDEX. Serdecznie dziękujemy naszym Klientom
za tak liczny udział w konferencji Cisco Forum 2008.
MPLS - nowe szkolenie w ofercie SOLIDEX
MPLS jest stosunkowo nową technologią, która umożliwia dostawcom usług
internetowych (ISP) budowanie sieci
MAN i WAN, bazujących na protokole IP
z wykorzystaniem mechanizmów typu
VPN i QoS. Inżynieria ruchu pozwala
sieciom na ich adaptację dla różnych
sytuacji ruchu. Kurs Implementing Cisco MPLS – dostępny w ofercie SOLIDEX
od 12 marca br. – obejmuje podstawy technologii MPLS, jej architekturę,
działanie oraz wykrywanie i usuwanie
problemów. Celem kursu jest nabycie
umiejętności i wiedzy potrzebnej do
instalowania, nadzorowania i rozwiązywania problemów w sieciach MPLS.
Kurs omawia zasadę działania technologii MPLS, a także instalację i konfigurowanie mechanizmów VPN oraz
przedstawia różne scenariusze implementacji. Zajęcia teoretyczne są uzupełnione sporym pakietem ćwiczeń
praktycznych, związanych z implementacją MPLS na urządzeniach firmy Cisco
Systems.
Tematyka kursu obejmuje:
•wprowadzenie do MPLS (podstawy
MPLS, aplikacje MPLS, etykiety LABELS),
•przypisywanie i dystrybucję etykiet
MPLS (LDP),
•implementację Frame-Mode MPLS
na platformie Cisco IOS,
•wprowadzenie do wirtualnych sieci
prywatnych (overlay vs peer-to-peer
VPN),
•podstawy MPLS-VPN (koncepcje
i cele, terminologia, model połączeń,
mechanizmy przekazywania, topologie, skalowanie),
•konfigurację routingu między routerami PE i CE,
•konfigurację sesji MP-BGP pomiędzy
routerami PE,
•dostęp do Internetu poprzez MPLS
VPN,
•wprowadzenie do MPLS traffic engineering.
Kurs przeznaczony jest dla administratorów sieci MPLS, osób planujących
takie wdrożenia oraz inżynierów systemowych, którzy chcą zdobyć wiedzę
o MPLS i jego mechanizmach. Kurs ten
stanowi również ważny element na drodze do uzyskania certyfikatu Cisco Certified Internetwork Professional (CCIP).
Od uczestników wymagana jest gruntowna wiedza o protokołach routingu.
W szczególności istotna jest umiejętność posługiwania się protokołem BGP.
Wskazana jest także wiedza w zakresie
usługi QoS i jej mechanizmów.
respektowane certyfikaty firmy Cisco
stanowią niezaprzeczalną wartość dla
inżynierów sieciowych oraz zatrudniających ich firm i instytucji. Certyfikaty
te są gwarancją ściśle określonego poziomu teoretycznej i praktycznej wiedzy inżynierów sieciowych.
Serdecznie zapraszamy do udziału
w naszych szkoleniach, które odbywają
się w:
•Centrum KompetencyjnoSzkoleniowym w Warszawie,
•Centrali Firmy w Krakowie.
Szczegóły dotyczące szkoleń oraz zapisy pod adresem
http://www.solidex.com.pl/240.htm .
SOLIDEX już od 1998 roku posiada certyfikat Cisco Learning Partner, świadczący o najwyższym światowym poziomie prowadzenia autoryzowanych
szkoleń Cisco Systems. Powszechnie
© SOLIDEX, 2008
5
Wydarzenia
18 lat do przodu
12 kwietnia 2008 roku SOLIDEX
obchodził swoje urodziny. W tym
dniu, osiemnaście lat temu, powstała pierwsza spółka naszej Grupy –
SOLIDEX Ltd.
Przez osiemnaście lat istnienia na
rynku, SOLIDEX nieustannie się rozwijał, stając się czołowym polskim
integratorem systemów teleinformatycznych. Obecnie Grupa zatrudnia
przeszło 230 osób w pięciu spółkach,
systematycznie zwiększając zatrudnienie. Centrala Firmy jest od samego
początku zlokalizowana w Krakowie.
Posiadamy oddziały w Gdańsku, Poznaniu i Warszawie
a także placówki serwisowe w Lublinie, Olsztynie,
Wrocławiu, Szczecinie i Toruniu. Aby
sprostać wzrastającym wymaganiom
naszych Klientów, w roku 2008 powołaliśmy do życia nowe Centrum
Kompetencyjno-Szkoleniowe w Warszawie.
Wieloletnie doświadczenie Grupy
SOLIDEX budowane w oparciu o wy-
kwalifikowaną kadrę inżynierską,
a także konsekwentne stosowanie
najnowocześniejszych
technologii
wiodących światowych producentów,
przekłada się na zdobywane przez
Firmę nagrody i wyróżnienia oraz
najwyższe specjalizacje techniczne.
Co roku dokonujemy nowych implementacji, zyskując uznanie Klientów,
wśród których znajdują się największe
polskie banki, firmy ubezpieczeniowe,
operatorzy telekomunikacyjni, duże
sieci handlowe, uczelnie i agendy administracji publicznej. Swoją stabilną
pozycję na rynku zawdzięczamy bardzo dobrym wynikom, niezależności finansowej, a przede wszystkim
wartościom, którymi konsekwentnie
kieruje się nasza
Firma. Wśród
nich naczelną zasadą
j e s t
„SOLIDność
w każdym
działaniu”,
która stanowi gwarancję
powodzenia każdej powierzonej nam inwestycji i została
już wielokrotnie potwierdzona przez
naszych Klientów i Partnerów, a także
niezależne organizacje gospodarcze
i biznesowe.
Wszystkim, którzy przyczynili się
do naszego sukcesu: Pracownikom,
Partnerom, Klientom i Przyjaciołom
dziękujemy za okazane nam zaufanie,
wieloletnią współpracę oraz wymianę
cennych doświadczeń. Mamy nadzieję, że kolejne lata będą dla nas równie
owocne, a zdobyta wiedza i doświadczenie pozwoli nam wszystkim dalej
„uciekać do przodu”.
SOLIDEX Przejrzystą Firmą
W marcu 2008 roku SOLIDEX został
nagrodzony certyfikatem „Przejrzysta
Firma” nadanym przez czołową wywiadownię gospodarczą Dun and Bradstreet Poland, zajmującą się analizą
wiarygodności firm i przedsiębiorstw.
Certyfikat otrzymują jedynie te przedsiębiorstwa, które prowadzą jawną politykę informacyjną, zapewniając pełny
dostęp do aktualnych i wiarygodnych
informacji o swoich finansach. Wyróżnienie przyznane SOLIDEX jest szczególnie istotne dla naszych partnerów
handlowych i kontrahentów, gdyż
świadczy niezbicie o wiarygodności
i uczciwości finansowej Firmy, czyniąc
z niej rzetelnego partnera biznesowego. Jest także gwarancją sprawnego
zarządzania przedsiębiorstwem, które
w sposób przejrzysty i bezpieczny realizuje powierzane inwestycje.
Więcej informacji na temat certyfikatu
„Przejrzysta Firma” znajdą Państwo na
stronie www.przejrzystafirma.pl .
6
Wydarzenia
SOLIDEX zmodernizuje sieć w Komendzie Głównej Policji
Dnia 29 maja 2008 roku SOLIDEX podpisał umowę z Komendą Główną Policji,
obejmującą zaprojektowanie, dostawę
i instalację urządzeń aktywnych sieci
WAN w KGP oraz w Komendach Wojewódzkich Policji na terenie całego kraju.
Zgodnie z zamówieniem SOLIDEX
wdroży na terenie kraju między inny-
mi routery Cisco serii 7206 oraz 3825.
W ramach kontraktu instruktorzy SOLIDEX przeprowadzą autoryzowane
szkolenia Cisco dla pracowników Policji. Zainstalowane urządzenia zostaną
objęte szybkim serwisem gwarancyjnym, świadczonym przez SOLIDEX.
SOLIDEX, jako integrator sieci kompu-
terowych, od lat zajmuje się kompleksową realizacją zamówień dla sektora
publicznego. Doświadczeni inżynierowie oraz rozwiązania oparte na produktach światowych liderów w branży
IT gwarantują sukces w powierzonej
nam inwestycji.
SOLIDEX przyjacielem Festiwalu Zaczarowanej Piosenki im. Marka Grechuty
Jeśli natura obdarzyła Cię pięknym głosem, słuchem i darem śpiewania, bądź
z nami! Wyśpiewaj swoje uczucia, swoją
radość, miłość, cierpienie! Wyśpiewaj siebie! Podziel się sobą z innymi! Daj sobie
szansę! Daj szansę innym poznawać Twój
talent! Musisz tylko się odważyć!
Tymi słowami organizatorzy gorąco
zachęcali uzdolnionych, niepełnosprawnych artystów do udziału w IV już
edycji Festiwalu Zaczarowanej Piosenki
im. Marka Grechuty, odbywającego się
w ramach Ogólnopolskich Dni Integracji „Zwyciężać mimo wszystko”.
SOLIDEX, od lat zaangażowany we
współpracę z Fundacją Anny Dymnej
„Mimo Wszystko”, jest przyjacielem tegorocznego Festiwalu.
Jak co roku, w dniach 14 i 15 czerwca
2008 roku, Rynek Główny w Krakowie
rozbrzmiewał piosenką, pełną ciepła,
radości i nadziei. Młodzi niepełnosprawni wokaliści po raz kolejny zaprezentowali swój talent szerokiej publiczności. W tych wyjątkowych chwilach
towarzyszyły im największe gwiazdy
polskiej estrady i ekranu: Irena Santor,
Kasia Nosowska, Natalia Kukulska, Halinka Mlynkova, Tatiana Okupnik, Jerzy
Trela, Zbigniew Zamachowski, Grzegorz Markowski, Stanisław Soyka i Szymon Wydra.
Serdecznie dziękujemy wszystkim,
którzy wzięli udział w Dniach Integracji, jednocząc się wokół jednego celu:
wspólnej dobrej zabawy w pełnej godności atmosferze.
© SOLIDEX, 2008
7
Wydarzenia
SOLIDEX z certyfikatem Cisco ATP - Outdoor Wireless Mesh
Dnia 6 czerwca 2008 roku SOLIDEX
otrzymał certyfikat Cisco ATP - Outdoor Wireless Mesh. Wyróżnienie potwierdza wysoką jakość świadczonych
przez Firmę usług w zakresie sprzedaży, projektowania i implementacji nowoczesnych, bezprzewodowych sieci
kratowych. Sieci typu Outdoor Wireless
Mesh z powodzeniem znajdują zastosowanie w przestrzeni publicznej typu:
rynki miejskie, parki itp. Specjalizacja
Cisco ATP - Outdoor Wireless Mesh,
przyznawana w ramach programu
partnerskiego ATP (Authorized Technology Provider), weryfikuje i wyróżnia
przedsiębiorstwa, oferujące nowoczesne rozwiązania teleinformatyczne
oparte na produktach Cisco.
SOLIDEX posiada od 1998 roku status
Złotego Partnera firmy Cisco Systems
(Cisco Systems Gold Partner) i spełnia
wszystkie wymagania certyfikacyjne
w zakresie obowiązujących zaawansowanych specjalizacji Cisco (Advanced
Wireless LAN, Advanced Security, Advanced Unified Communication oraz
Advanced Routing & Switching). Ponadto Firma dysponuje dedykowanym
laboratorium sprzętowym, umożliwiającym wykonywanie zaawansowanych
testów oraz pomiarów, także w środowisku użytkowników końcowych.
W skład tego zestawu wchodzą bezprzewodowe punkty dostępowe Cisco
Aironet 1500, szeroki zestaw anten oraz
systemy umożliwiające zarządzanie
i monitorowanie sieci bezprzewodowych. Konsultanci oraz inżynierowie
SOLIDEX, posiadający kwalifikacje z zakresu technologii Cisco Outdoor Wireless Mesh, pomogą wykonać plany
oraz projekty sieci bezprzewodowych
zgodnie z wymaganiami naszych Klientów.
Kolejny certyfikat Cisco przyznany Firmie jest dowodem wysokich kompetencji kadry inżynierskiej, co w połączeniu z wieloletnim doświadczeniem
stanowi dla naszych Klientów najlepszą
gwarancję powodzenia w realizacji powierzonych nam inwestycji teleinformatycznych.
Więcej informacji na temat certyfikowanych Partnerów Cisco można znaleźć pod adresem:
http://tools.cisco.com/WWChannels/
LOCATR/jsp/partner_locator.jsp
SOLIDEX wdroży sieć WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego
SOLIDEX 19 czerwca 2008 r. podpisał
umowę na usługę zaprojektowania,
instalacji i konfiguracji sieci bezprzewodowej WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego.
W ramach kontraktu SOLIDEX wykona
pomiary określające docelową ilość i rozmieszczenie punktów dostępowych Ci-
sco Aironet, zaprojektuje infrastrukturę
WiFi, dokona jej montażu i konfiguracji,
a także przeprowadzi testy poprawności
działania i wydajności. Zgodnie z założeniami umowy infrastruktura zaprojektowana przez SOLIDEX obejmie swoim
zasięgiem wszystkie pomieszczenia
biurowe w budynkach należących do
UMWM w Krakowie.
Wykonana infrastruktura objęta będzie
gwarancją, a zainstalowanym urządzeniom SOLIDEX zapewnieni profesjonalne wsparcie techniczne certyfikowanych inżynierów.
SOLIDEX – 2. największym integratorem systemowym w Polsce w 2007 r.
Według raportu Teleinfo 500 – przedstawiającego rynek teleinformatyczny
w Polsce w 2007 roku, firma SOLIDEX
SA znalazła się na drugim miejscu
wśród największych integratorów systemowych w Polsce.
Pozycję tę SOLIDEX zbudował w oparciu o odpowiedzialne podejście do
bezpiecznego wdrażania najnowszych
osiągnięć technologicznych, wysoką
jakość specjalizowanych usług oraz najlepsze produkty uznanych na świecie
producentów. Wieloletnie doświadczenie Firmy pozwoliło nam na zdobycie
zaufania naszych Klientów, dla których
realizujemy dowolnej skali i przezna-
czenia systemy teleinformatyczne.
SOLIDEX od lat należy do liderów
w branży IT, co potwierdzają wysokie
pozycje w rankingach Teleinfo 500 oraz
Computerworld 200.
8
Nowości
Rodzina Cisco ACE – nowe funkcjonalności
Celem artykułu jest zapoznanie z rodziną urządzeń Cisco ACE – Application Control Engine oraz omówienie
nowych funkcjonalności dostępnych w wersji drugiej oprogramowania dla modułu serwisowego Cisco ACE.
Omówienie zasad działania i funkcjonalności load balancingu zostały opisane w Integratorze Online 9-10/2007
(94) w artykule pt. „Kompendium wiedzy o load balancingu oraz omówienie load balancerów firmy Cisco,
Juniper i F5”.
Urządzenia Application Control
Engine integrują następujące
funkcje:
•Load balancing,
•SSL Offload,
•Bezpieczeństwo dla Data Center.
ACE najczęściej stosujemy w celu zapewnienia wirtualizacji elementów
Centrum Przetwarzania Danych. Wirtualizacja elementów CPD jest kluczowa dla jago skalowalności, wysokiej
dostępności oraz bezpieczeństwa przy
zachowaniu łatwości zarządzania.
Rodzina produktów Cisco ACE składa
się z:
•Modułów serwisowych ACE dla Catalyst’a 6500, routera 7600,
•Urządzeń typu Appliance – ACE 4710,
•Firewalla aplikacyjnego – ACE XML
Gateway,
•ACE Global Site Selector.
ACE 4710 Appliance
Cisco ACE Global Site Selector
Urządzenie ACE 4710 Appliance umożliwia przetwarzanie danych z szybkością do 2 Gb/s oraz wykonywanie do 10
000 transakcji SSL na sekundę. Ponadto posiada cztery porty typu Ethernet
10/100/1000, a także zapewnia zawansowane funkcjonalności, jakie daje moduł serwisowy ACE z jednoczesnymi
zaletami urządzeń pracujących samodzielne.
Cisco ACE Global Site Selector (GSS)
jest urządzeniem typu Global Server
Load Balancing (GSLB), które zapewnia
zwiększenie poziomu dostępności oraz
redundancję usług sieciowych w skali
organizacji rozproszonej geograficznie.
Jest to możliwe dzięki kierowaniu ruchem w zależności od odległości i dostępności ośrodków Data Center, wyposażonych w urządzenia rodziny Cisco
ACE. ACE GSS umożliwia dynamiczne
rozkładanie ruchu pomiędzy lokalizacjami rozproszonymi geograficznie,
poprzez przekierowywanie zapytań
do najszybszych lokalizacji z punktu
widzenia poszczególnych klientów.
W chwili awarii jednego z ośrodków
Data Center jest on automatycznie usuwany z grupy do momentu, kiedy znów
stanie się dostępny. ACE Global Site Selector polega na manipulowaniu rekordami DNS. Klient wysyłając zapytanie
o nazwę hosta, otrzymuje od serwera
DNS odpowiedź, zawierającą adresy IP
dostępnych usług.
ACE XML Gateway
Rozwiązanie ACE XML Gateway jest firewallem aplikacyjnym umożliwiającym
osiągnięcie wyższego poziomu bezpieczeństwa, dostępności oraz wydajności
aplikacji usług webowych bazujący na
protokołach XML (Extensible Markup
Language) oraz SOAP (Simple Object
Access Protocol). W nowej wersji udoskonalono monitorowanie wydajności
bramy oraz raportowanie zdarzeń. ACE
XML Gateway zapewnia wydajność do
30 000 transakcji XML na sekundę.
Moduł serwisowy ACE jest dedykowanym rozwiązaniem sprzętowym dla
przełączników Catalyst serii 6500 oraz
routerów serii 7600. Moduł ACE w zależności od wersji licencji zapewnia:
Rys.1 Rodzina produktów Cisco ACE
•wydajność 4 Gbps, 8 Gbps oraz 16
Gbps,
•obsługę do 6.5 miliona pakietów na
sekundę,
•4 miliony jednoczesnych połączeń,
•350 000 połączeń na sekundę (L4).
© SOLIDEX, 2008
9
Nowości
•SYN to SYN-ACK. Czas pomiędzy
wysłaniem SYN z ACE do momentu
otrzymania SYN-ACK od serwera.
•SYN to Close. Czas pomiędzy wysłaniem SYN z ACE do momentu
otrzymania FIN/RST od serwera.
•Application Request to Response.
Czas pomiędzy wysłaniem żądania
HTTP z ACE do momentu odpowiedzi http od serwera.
Algorytm Least-Loaded Using SNMP
automatycznie oblicza najmniej obciążony serwer na podstawie odpowiedzi
SNMP otrzymanych od serwerów. Jest
to jedna z najbardziej dokładnych me-
Rys.2 Cisco ACE Module
Istnieje możliwość uzyskania wydajności do 64 Gbps poprzez wykorzystanie
czterech modułów serwisowych w jednym urządzeniu.
Cechy oprogramowania modułów
serwisowych ACE w wersji 2.0
Nowa wersja oprogramowania dla modułów serwisowych ACE dostępna jest
od 6 marca 2008 roku. Oprogramowanie w wersji drugiej o numerze release
A2(1.0) i nazwie c6ace-t1k9_mz.A2_1.
bin jest dedykowane dla modułów ACE
w wersji- ACE10 (ACE10-6500-K9) oraz
ACE20 (ACE20-MOD-K9).
Oprogramowanie to znacznie rozszerza możliwości funkcjonalne wcześniejszej wersji oprogramowania w zakresie
protokołów balansowania ruchu, akceleracji oraz mechanizmów zapewniających ochronę aplikacji. Nowa wersja
rozszerza wspierane protokoły równoważenia obciążenia o protokoły aplikacyjne, takie jak:
•SIP,
•Extended RTSP,
•RADIUS,
•RDP.
Dla innych protokółów aplikacyjnych
istnieje możliwości balansowania ruchu za pomocą protokołu Generic Protocol Parsing. Działanie protokołu GPP
polega na analizie zawartości pakietów
ACE najczęściej stosujemy w celu zapewnienia wirtualizacji
elementów Centrum Przetwarzania Danych (CPD).
Wirtualizacja elementów CPD jest kluczowa dla jago
skalowalności, wysokiej dostępności oraz bezpieczeństwa
przy zachowaniu łatwości zarządzania.
protokołu UDP oraz sesji TCP (L4) za
pomocą wyrażeń regularnych. Na podstawie danych uzyskanych z analizy
możliwe jest balansowanie ruchu dla
nieznanych protokołów.
Istotną cechą oprogramowania w wersji
2.0 są nowe algorytmy równoważenia
ruchu (predictors). Algorytmy te określają, w jaki sposób ruch jest rozkładany
(balansowany) pomiędzy poszczególne serwery w farmie serwerów. Oprócz
znanych z wcześniejszej wersji algorytmów, takich jak „Round Robin” (przydzielanie sesji kolejnym serwerom) czy
„Least connections” (przydzielanie sesji
serwerom o najmniejszej liczbie połączeń) wprowadzono nowe algorytmy:
•Adaptive Response Predictor,
•Least Loaded,
•Least Bandwidth.
Działanie algorytmu Adaptive Response polega na rozkładaniu ruchu na bazie czasu odpowiedzi serwerów. Czas
ten jest obliczany na podstawie ilości
skonfigurowanych próbek. Możliwe są
trzy opcje mierzenia:
tod obliczania obciążenia serwerów,
która może wspierać obiekty SNMP
(SNMP Object ID), takie jak:
•CPU Utilization,
•Memory Resources,
•Disk Drive Availability.
Algorytm Least-Bandwidth wybiera
serwer, który przetworzył najmniejszą
ilość ruchu sieciowego w określonym
czasie. ACE mierzy statystyki ruchu do
serwerów w obu kierunkach i oblicza
pasmo wykorzystane w czasie próbkowania. Na podstawie wyników próbkowania tworzona jest uporządkowana
lista serwerów.
Funkcje bezpieczeństwa nowej wersji oprogramowania dla modułu ACE,
oprócz zaawansowanej ochrony DoS
(Denial-of-service), zostały rozszerzone
o dodatkowe protokoły podlegające
inspekcji:
•SIP,
•H.323,
•ILS/LDAP,
•Skinny.
10
Nowości
ści, wydajności oraz bezpieczeństwa
usług i aplikacji pracujących w centrach danych przy jednoczesnej redukcji kosztów utrzymania.
Rys.3 Rozkładanie ruchu na bazie czasu odpowiedzi serwerów
Moduł ACE posiada zaawansowane
mechanizmy bezpieczeństwa typu
firewall aplikacyjny oraz większą wydajność w stosunku do modułu serwisowego firewall – FWSM. Należy jednak
pamiętać, iż moduł ACE posiada także
pewne ograniczenia i nie powinien stanowić jego alternatywy.
terfejs GUI FW, brak obsługi dynamicznego routingu oraz protokołów typu
multicast. Implementacja funkcjonalności AAA nie jest możliwa dla ruchu
produkcyjnego, a jedynie dla ruchu zarządzającego.
Ograniczone funkcje ACE w stosunku
do FWSM to między innymi ograniczona inspekcja protokołów: ICMP, RTSP,
FTP, DNS, brak innych funkcji bezpieczeństwa, takich jak: współdziałanie
z mechanizmami filtrowania URL, in-
Rodzina urządzeń Application Control
Engine (ACE) stanowi element architektury Data Center 3.0 czyli koncepcji budowy zaawansowanych centrów
danych nowej generacji. Rodzina Cisco
ACE zapewnia zwiększenie dostępno-
Wnioski:
Nowa wersja oprogramowania modułu
serwisowego ACE dla przełączników
Catalyst serii 6500 oraz routerów serii 7600 zapewnia znaczne ulepszenia
w stosunku do wcześniejszej wersji.
Wersja 2.0 wspiera dodatkowe protokoły aplikacyjne oraz zapewnia równoważenie ruchu w oparciu o ulepszone algorytmy balansowania. W nowej wersji
ulepszone zostały mechanizmy obsługi akceleracji protokołu SSL, natomiast
bezpieczeństwo aplikacji osiągnięto
dzięki rozbudowie mechanizmów inspekcji protokołów oraz ochronie DoS.
Aleksander
Jagosz
Inżynier Konsultant
Dbamy o to, by integracja była nie
tylko rzemiosłem, ale i sztuką
www.SOLIDEX.com.pl
© SOLIDEX, 2008
11
Nowości
IronPort – systemy antyspamowe i antywirusowe
Systemy zabezpieczeń pełnią istotną rolę w dzisiejszych sieciach teleinformatycznych, ochraniając kluczowe
zasoby sieci wewnętrznych. Wychodząc naprzeciw rosnącym wymaganiom rynku, firma IronPort oferuje
kompletne portfolio produktów, służących do zabezpieczenia poczty elektronicznej oraz ruchu internetowego
na brzegu sieci.
Firma IronPort jest wiodącym dostawcą i liderem na rynku z zakresu rozwiązań dotyczących zabezpieczeń poczty
elektronicznej oraz ochrony przed zagrożeniami związanymi z ruchem internetowym, które stoją przed sieciami
korporacyjnymi, tj. zagrożeniami bezpieczeństwa zasobów oraz zgodności
z prawem.
ruchu smtp oraz http, dla każdego
z serwerów poczty w Internecie, obsługując dziennie ponad 30 miliardów zapytań z każdego zakątka globu. Dane
bazy SenderBase są dostępne dla zarejestrowanych w programie instytucji,
biorących udział w walce przeciw spamowi.
Firma IronPort jest wiodącym dostawcą i liderem na
rynku z zakresu rozwiązań dotyczących zabezpieczeń
poczty elektronicznej oraz ochrony przed zagrożeniami
związanymi z ruchem internetowym, które stoją przed
sieciami korporacyjnymi, tj. zagrożeniami bezpieczeństwa
zasobów oraz zgodności z prawem.
W ofercie IronPort znajdują się trzy linie
produktowe:
•C-Series Email Security Appliances,
•S-Series Web Security Appliances,
•M-Series Secrity Management Appliances.
Urządzenia firmy IronPort zawdzięczają swój sukces zastosowaniu unikalnej
technologii, jaką jest baza SenderBase. SenderBase to pierwszy na świecie
i największy system globalnego monitoringu ruchu internetowego oraz mailowego w oparciu o filtr reputacyjny.
Baza gromadzi dane od ponad 100,000
dostawców internetu (ISP), firm użyteczności publicznej, uniwersytetów
i komercyjnych przedsiębiorstw z całego świata. SenderBase mierzy ponad
150 różnych parametrów, dotyczących
C-Series – Ochrona Poczty
W dzisiejszych czasach poczta elektroniczna odgrywa kluczową rolę w komunikacji pomiędzy kontrahentami,
zmuszając przedsiębiorstwa do ochrony własnej infrastruktury pocztowej nie
tylko przed spamem, ale także przed
wirusami czy malwarem, dla którego
poczta elektroniczna jest głównym
medium dystrybucyjnym.
Urządzenia C-Series gwarantują stabilną ochronę sieci przy jednoczesnym
uproszczeniu struktury strefy bezpieczeństwa, zapewniając niezawodną
pracę, dostarczającą wysoką dostępność ważnych kanałów poczty elektronicznej.
Urządzenia C-Series korzystają z wielowarstwowej ochrony poczty elektronicznej w oparciu o najważniejsze
funkcje:
•Anty Spam w celu oceny ryzyka
Rys.1 Rodzina produktów IronPort
12
Nowości
technologię IronPort PXE, szyfrowanie wiadomości pozwala na prostą
i bezpieczną łączność dwukierunkową z dowolnym odbiorcą poczty,
poprzez uwierzytelnianie odbiorcy
i bezpieczne dostarczenie klucza,
śledzenie wiadomości czy bezpieczną odpowiedź.
•DLP – funkcjonalność „Data Lost Prevention” pozwala na sankcjonowanie
polityki bezpieczeństwa dla poczty
przychodzącej i wychodzącej, przez
blokowanie komunikacji z konkurencją bądź podejrzanymi adresatami,
blokowanie treści obraźliwych czy
też wymuszanie polityki komunikacji
(np. poprzez dozwoloną wielkość
maksymalnego załącznika).
Rys.2 Baza SenderBase
Zarządzanie poprzez zintegrowany interfejs WWW umożliwia dostęp do raportów historycznych oraz pozwala na
konfigurowanie reguł, wyszukiwanie
i selektywne zwalnianie wiadomości
poddanych kwarantannie:
Rys.3 Konsolidacja zabezpieczeń poczty elektronicznej na brzegu sieci
związanego z poszczególnymi
wiadomościami elektronicznymi
korzysta z filtra reputacyjnego,
bazującego na systemie SenderBase
i w czasie rzeczywistym identyfikuje
podejrzanych nadawców wiadomości. Filtr reputacyjny, przydzielający
przesyłanym wiadomościom określony w skali od -10 do +10 poziom
zaufania, pozwala na blokowanie
do 80% spamu, próbującego dostać
się do sieci wewnętrznej przedsiębiorstw.
•Anty Wirus – filtr antywirusowy
poprzez identyfikację i kwarantannę
podejrzanych wiadomości pozwala
na powstrzymywanie wirusów rozsyłanych drogą poczty elektronicznej.
Dodatkowo, wykorzystywanie w tym
celu sygnatur dwóch producentów
(Sophos oraz McAfee) pozwala na
kompleksowe, szeregowe skanowanie zawartości wiadomości.
•Email Encryption – umożliwia ochronę danych poufnych. Wykorzystując
•Mail Flow Central – kontrola stanu
wiadomości, która trafiła w obręb
wewnętrznej infrastruktury poprzez
narzędzie do raportowania, pozwala na błyskawiczne odpowiedzi
na zgłoszenia od użytkowników
końcowych.
•Email Security Monitor – monitorowanie i raportowanie o zagrożeniach
w czasie rzeczywistym. Funkcja ta
pozwala śledzić wszystkie systemy,
nawiązujące połączenie z danym
urządzeniem IronPort w celu identyfikacji zagrożeń internetowych,
takich jak: spam, wirusy oraz ataki
typu Denial of Service.
•Spam Quarantine – samoobsługowa
NARZĘDZIA ZARZĄDZANIA
OCHRONA PRZED OCHRONA PRZED
ZAPOBIEGANIE
SPAMEM
UTRACIE DANYCH
WIRUSAMI
SZYFROWANIE
E-MAILI
PLATFORMA E-MAILOWA IRONPORT OPARTA NA SYSTEMIE ASYNCOS
Rys.4 Wielowarstwowa ochrona poczty e-mail
© SOLIDEX, 2008
13
Nowości
kwarantanna dla użytkowników,
stwarzająca możliwość centralnego
przechowywania spamu.
•ContentScanning umożliwia wprowadzenie i wymuszenie przestrzegania standardów prawnych i reguł
dozwolonego użytkowania poczty
w oparciu o kontrolę zawartości
wiadomości.
W portfolio bram zabezpieczających
pocztę elektroniczną, znajdują się
platformy dostosowane do wymagań
klientów z każdego sektora rynku:
•C150 – do 1.000 użytkowników albo
18.000 MPH (Message Per Hour).
Rozwiązanie rekomendowane dla
małych i średnich przedsiębiorstw.
•C350 – do 10.000 użytkowników lub
46.800 MPH. Rozwiązanie rekomendowane dla średnich i dużych
przedsiębiorstw.
•C350D – rozwiązanie dla przedsiębiorstw z unikalną i nietypową
polityką maili wychodzących.
•C650 – do 20.000 użytkowników lub
104.400 MPH. Rozwiązanie rekomendowane dla dużych i przedsiębiorstw
typu enterprise.
•X1050 – do 255.600 MPH. Rozwiązanie rekomendowane dla dużych
przedsiębiorstw enterprise i ISP.
Rys.5 Szyfrowanie wiadomości z wykorzystaniem PXE
S-Series – Kontrola ruchu internetowego
Rosnąca na przestrzeni ostatnich lat
liczba zagrożeń bezpieczeństwa, które
pojawiają się wraz z ruchem internetowym pokazała, że dotychczasowe
metody ochrony sieci przestają być wystarczające. Tradycyjne bramki sieciowe nie są skuteczne w konfrontacji z lawinowo rozprzestrzeniającą się gamą
złośliwych programów, pochodzących
z Internetu, narażając tym samym sieci korporacyjne na niebezpieczeństwo
stwarzane przez te zagrożenia. Dodatkowo oprócz zagrożeń bezpieczeństwa
wynikających z działania złośliwego
oprogramowania, ruch sieciowy naraża
także przedsiębiorstwa na ryzyko, dotyczące zgodności i produktywności,
wynikające z niewłaściwego wykorzystywania zasobów sieci Internet przez
pracowników firm.
Urządzenie zabezpieczenia sieciowego IronPort S-Series Web Security Appliance to pierwsza w branży platforma
łącząca tradycyjne filtrowanie adresów
URL z unikalnymi filtrami reputacyjnymi oraz filtrowaniem złośliwego oprogramowania na jednej maszynie. Platforma S-Series może być instalowana
w wielu trybach tj. jawny przekazujący
serwer proxy dla sieci, transparentna
instalacja poza przełącznikiem w warstwie 4 lub jako router WCCP w obrębie
sieci, pozwalając na elastyczną budowę
sieci korporacyjnej.
Urządzenia S-Series to wielowarstwowy gateway zabezpieczający, obejmujący filtr reputacyjny, mechanizmy
skanowania w poszukiwaniu złośliwego oprogramowania, monitor ruchu
w warstwie 4 (L4) wykrywający działanie niepożądanych aplikacji przez porty inne niż port 80.
•Serwer proxy sieci Web – podstawowa funkcjonalność pozwalająca na
dogłębną analizę treści, która jest
istotna dla precyzyjnego wykrywania oprogramowania z Internetu.
Serwer proxy działa w oparciu o autorski system operacyjny IronPort
AsyncOS, umożliwiający sprawne
dostarczanie treści buforowanych
stron internetowych, dzięki wysoce
inteligentnemu zarządzaniu pamięcią, dyskiem oraz jądrem. S-Series
może być skonfigurowane jako
samodzielny serwer proxy lub współ-
Rys.6 Gateway zabezpieczający ruch WWW
14
Nowości
pracować z innymi serwerami.
•Monitor ruchu L4 – skanuje z prędkością transmisji cały ruch TCP/IP na
wszystkich 65 535 portach, wykrywa
zainstalowany malware, skutecznie
zatrzymując złośliwe oprogramowanie, który próbuje obchodzić port 80
przy komunikacji z Internetem. Korzystając z dodatkowej funkcji, jaką
jest dynamiczne dodawanie adresów
IP znanych złośliwych programów
do swojej listy portów i adresów IP,
umożliwia szybsze ich wykrywanie
i blokowanie. Dzięki tej możliwości,
monitor ruchu L4 przegląda ruch
złośliwego oprogramowania niemalże w czasie rzeczywistym – nawet
w przypadku, gdy zainfekowany host
próbuje uniknąć wykrycia, zmieniając adresy IP.
•IronPort URL Filters – dysponując
bazą URL, zawierającą 20 milionów
witryn (co odpowiada ponad 3
miliardom stron internetowych) w 70
językach i 200 krajach, skategoryzowaną w 52 wstępnie zdefiniowanych
kategoriach – urządzenia IronPort
oferują wysoki wskaźnik precyzji
w kontrolowaniu treści internetowych.
•IronPort Web Reputation Filters
– korzystając z bazy SenderBase,
filtr reputacyjny używa ponad 50
różnych parametrów, związanych
z ruchem w sieci Internet do precyzyjnej oceny wiarygodności adresu
URL, następnie generowany jest
pojedynczy wynik (w skali od -10 do
+10) dla danego adresu URL, będący
podstawą podjęcia decyzji o zablokowaniu strony WWW.
•Anty Wirus – podobnie jak ma to
miejsce w urządzeniach C-Series,
gateway WWW korzysta z dwóch
filtrów antywirusowych, opartych
tym razem o sygnatury dwóch producentów (Webroot oraz McAfee),
tak aby zapewnić najwyższy poziom
ochrony przed różnymi zagrożeniami
z Internetu.
•IronPort Web Security Manager –
obraz wszystkich zasad dostępu
i zabezpieczeń skonfigurowanych
w urządzeniu. Z jednego miejsca
Rys.7 Wielowarstwowy gateway WWW
odbywa się zarządzanie wszystkimi zasadami dostępu do Internetu
(filtrowanie adresów URL, filtrowanie
reputacyjne oraz filtrowanie złośliwego oprogramowania). Dodatkowo,
istnieje możliwość dopasowywania
kryteriów i wiązania ich z klientami
(np. adres IP, uwierzytelniona nazwa
użytkownika itd.)
•IronPort Web Security Monitor –
podgląd na wszystkie działania
internetowe, w celu np. identyfikacji
zagrożeń i zapobiegania im w ramach opieki nad siecią korporacyjną.
M-Series
Uzupełnieniem portfolio produktów do
ochrony poczty oraz ruchu internetowego jest urządzenie IronPort M-Series,
służące do zarządzania polityką bezpieczeństwa. Urządzenie IronPort M-Series
pozwala na gromadzenie i konsolidację
w jednym miejscu wszelkich istotnych
danych, dotyczących zasad konfiguracji
i opieki nad systemem, oferując administratorowi i użytkownikowi pojedynczy
interfejs do zarządzania systemami zabezpieczeń poczty elektronicznej oraz
ruchu internetowego.
Rys.8 Filtr reputacyjny
Gama bram bezpieczeństwa WWW
obejmuje dwa modele:
•S350 – Rozwiązanie dedykowane
dla przedsiębiorstw posiadających
1-5000 użytkowników. Posiada te
same funkcje co urządzenie S650.
•S650 – Rozwiązanie dedykowane
dla przedsiębiorstw od 250-10.000
użytkowników.
Szymon Poliński
© SOLIDEX, 2008
15
Nowości
Nowoczesne systemy ochrony informacji – Imperva
Obecnie rynek firewalli aplikacyjnych rozwija się bardzo dynamicznie, a sam firewall aplikacyjny najczęściej
jest utożsamiany z Web Application Firewallem (WAF). Aplikacje Web prezentują dane klientom i wydaje się, że
dlatego są najczęstszym celem ataków, przez co należy je dodatkowo ochraniać. Warto jednak zastanowić się,
czy ochrona samej aplikacji Web jest wystarczająca? A co z połączeniami nawiązywanymi przez aplikację, czyli
na przykład połączeniami do baz danych? Może warto zwiększyć kontrolę nad dostępem do samej informacji,
która przechowywana jest właśnie w bazie danych, a nie tylko chronić moduł, prezentujący te informacje.
Imperva SecureSphere to nowoczesny
system ochrony zbudowany z aplikacyjnego firewalla Web oraz aplikacyjnego
firewalla baz danych. Połączenie tych
dwóch elementów w jednym rozwią-
tego rozwiązania jest również zautomatyzowanie procesu nauki i aktualizacji
kontekstu aplikacyjnego chronionych
zasobów, zarówno w przypadku aplikacji Web czy baz danych.
Warto podkreślić, że proces nauki oraz aktualizacji odbywa
się w pełni automatycznie, choć oczywiście administrator
powinien dostroić odpowiednio profil. Dodatkowo
SecureSphere posiada możliwość nauki formularzy,
służących do logowania się użytkowników do aplikacji
Web.
zaniu daje niespotykane dotąd możliwości korelacji informacji na temat komunikacji przeprowadzanej w ramach
systemu aplikacyjnego. Istotną cechą
Niniejszy artykuł ma za zadanie przedstawić elementy systemu oraz wskazać
korzyści płynące z integracji kilku elementów firewalla aplikacyjnego.
Rys.1 Architektura rozwiązań Imperva SecureSphere
Web Application Firewall
Jednym z kluczowych elementów systemu jest Imperva SecureSphere Web
Application Firewall, który wykorzystuje
tzw. pozytywny model bezpieczeństwa,
aby osłaniać chronione aplikacje. Pozytywny model oznacza sytuację, w której
definiowane jest poprawne zachowanie
chronionej aplikacji, a wszelkie próby
wyjścia poza to poprawne zachowanie
są blokowane. Aby zdefiniować poprawne zachowanie, trzeba mieć świadomość całej aplikacji – firewall aplikacyjny
musi się jej nauczyć. Za naukę aplikacji
w SecureSphere odpowiada moduł Dynamic profiling.
Zastosowana technologia pozwala na
podstawie analizy obserwowanego
ruchu zbudować odzwierciedlenie całej struktury aplikacji, składającej się
z katalogów, URLi, metod dostępu,
parametrów, typów wartości oraz długości ciągów znaków wprowadzanych
przez użytkowników w poszczególnych
formatkach. Warto podkreślić, że proces nauki oraz aktualizacji odbywa się
w pełni automatycznie, choć oczywiście
administrator powinien dostroić odpowiednio profil. Dodatkowo SecureSphere posiada możliwość nauki formularzy,
służących do logowania się użytkowników do aplikacji Web. Dzięki temu możliwe jest śledzenie aktywności użytkowników poprzez moduł Web Application
User Tracking, co jest funkcją unikalną
na rynku. System SecuReSphere koreluje nazwę użytkownika, logującego się
do aplikacji z identyfikatorem sesji lub
wartością Cookie, co pozwala na audy-
16
Nowości
towanie działalności użytkownika. Śledzenie jest realizowanie na podstawie
nazwy użytkownika zalogowanego do
aplikacji, a nie tylko adresów IP, z których użytkownik się łączy. Dzięki temu
możemy rozróżnić aktywność użytkowników, łączących się zza serwerów proxy
lub z sieci prywatnych, za urządzeniami
realizującymi translację NAT.
Na podstawie stworzonych profili
aplikacji budowana jest polityka bezpieczeństwa złożona z reguł zdefiniowanych poprzez zdarzenia, priorytet,
reakcję natychmiastową (czy pakiet ma
być blokowany), wskazanie dalszych akcji (blokowanie lub śledzenie źródła, wysłanie informacji do serwera syslog etc.),
dystrybucji reguły do poszczególnych
obiektów oraz aktywacji reguły.
Database Security Gateway
Drugim z podstawowych elementów
systemu SecureSphere jest firewall baz
danych Database Security Gateway
(DSG). Stosowane dotychczas tradycyjne zabezpieczenia, takie jak systemy IPS/
IDS, poddając analizie ruch kierowany
do baz danych, sprawdzają poprawność
protokołu komunikacji oraz poprawność składni wysyłanych zapytań. Takie
rozwiązania nie mają jednak świadomości chronionych zasobów, dlatego nie
mogą na przykład blokować dostępu
do poszczególnych części bazy jak tabele itp. Imperva DSG również posiada
możliwość kontrolowania poprawności ruchu bazdodanowego, a informacje pochodzące z Application Defense
Center o najnowszych podatnościach
i zagrożeniach, pozwalają chronić bazę
danych przed znanymi atakami. Kluczowym wyróżnikiem Database Security
Gateway jest jednak świadomość chronionych zasobów, a co za tym idzie bardzo granularna możliwość kontroli. Na
podstawie obserwacji ruchu kierowanego do baz danych moduł ten w sposób
automatyczny uczy się:
•użytkowników (administrator posiada możliwość grupowania użytkow-
Audyt bazy danych
Wykrywanie błędów
bezpieczeństwa
Korelacja zdarzeń bezpieczeństwa
/IMPERVA Correlated Attack Violation/
Ataki „nieznanych” robaków Web
/analiza heurystyczna/
Naruszenia profili aplikacji Web i SQL
/automatyczne tworzenie i aktualizacja profili/
Ataki poziomu aplikacji Web i SQL
/wykrywanie przez sygnatury/
Anomalie protokołów Web i SQL
/niezgodności z RFC/
Sieciowy system ochrony przed intruzami (network IPS)
/sygnatury SNORT i IMPERVA/
Zapora sieciowa (network firewall)
Ruch HTTP/SSL
Ruch do bazy danych /
Oracle, Sybase, DB2,
MS-SQL/
Inna komunikacja
sieciowa
Zablokowanie
pakietów, wysłanie
TCP Reset
Rys.2 Funkcje ochrony rodziny rozwiązań Imperva SecureSphere
ników oraz zarządzania całą grupą
– zdefiniowane atrybuty są współdzielone pomiędzy użytkownikami),
•źródeł, z których dany użytkownik
może łączyć się do bazy danych
(adresy IP, nazwy aplikacji, nazwy
systemu operacyjnego, nazwy użytkownika OS),
•schematu bazy danych (tabele, typy
zapytań wykonywane na danej
tabeli),
•szczegółowych zapytań wykonywanych na poszczególnych tabelach.
w ramach odpowiedniej bazy danych.
Jak widać, w tym przypadku również
został zastosowany pozytywny model
bezpieczeństwa – czyli definiowany jest
poprawny model komunikacji i wszystko, co wykracza poza ten model, jest
blokowane lub administrator jest informowany, o występującym naruszeniu.
Dodatkowe funkcje ochrony
Rozwiązanie Imperva SecureSphere jest
systemem łączącym w sobie wiele różnych mechanizmów ochrony. Oprócz
Kluczowym wyróżnikiem Database Security Gateway jest
jednak świadomość chronionych zasobów, a co za tym idzie
bardzo granularna możliwość kontroli.
Mając tak dogłębną informację o chronionej bazie danych, możemy kontrolować dostęp do poszczególnych
tabel, definiując czarną-listę tabel lub
tzw. tabele z informacjami niejawnymi,
do których pewni użytkownicy nie powinni mieć dostępu. Możemy również
grupując zapytania w tzw. query groups, zdefiniować poprawne zapytania,
wspomnianych wcześniej funkcjonalności firewalla aplikacyjnego Web i baz
danych, SecureSphere posiada również:
•Zaporę sieciową firewall chroniącą
przed nieautoryzowanymi użytkownikami, niebezpiecznymi protokołami i innymi znanymi atakami warstwy sieciowej.
© SOLIDEX, 2008
17
Nowości
•Sieciowy system ochrony przed intruzami IPS chroniący przed znanymi
atakami skierowanymi na serwery
Web, serwery aplikacyjne czy systemy operacyjne. Dzięki aktualizacjom dostarczanym z laboratorium
Imperva Application Defense Center
(ADC) – odpowiedzialnemu za śledzenie i analizowanie nowych zagrożeń – chronione zasoby w krótkim
czasie są odporne, na pojawiające się
nowe niebezpieczeństwa.
»»SNMP,
»»syslog,
»»e-mail.
Dodatkowym elementem pozwalającym na inteligentną reakcję, na pojawiające się zdarzenia bezpieczeństwa, jest
moduł Correlated Attack Validation. CAV
decyduje o podjęciu akcji, na podstawie
korelacji informacji o pojawiających się
zdarzeniach, takich jak liczność, częstotliwość czy rodzaj zdarzenia. Reguły
Warto zauważyć również, że najczęściej aplikacja jest
zbudowana w ten sposób, że zapytania do baz danych
są wykonywane poprzez samą aplikację z uprawnieniami
użytkownika systemowego. Administrator baz danych
nie ma zatem możliwości rozróżnienia zapytań,
przychodzących z serwera aplikacyjnego.
nieczności przebudowy kodu aplikacji,
używając modułu Web application user
tracking. Dodatkowo w DSG wbudowano funkcjonalność SQL Connection User
Tracking, który pozwala na audyt działań użytkowników baz danych. Część
aplikacji biznesowych przekazuje w każdym zapytaniu lub w grupie zapytań
SQL do baz danych nazwę użytkownika,
powiązanego z daną transakcją. SQL
Connection User Tracking umożliwia
zidentyfikowanie nazwy użytkownika
przesyłanej w tych zapytaniach, dzięki
temu w logach systemu możemy jasno
określić, dla jakiego użytkownika aplikacji wykonała ona zapytanie do bazy
danych.
Dodatkowo, w sytuacji, kiedy aplikacja
nie przekazuje nazwy lub ID użytkownika, z pomocą przychodzi korelacja informacji z WAF i DSG.
Univeral User Tracking umożliwia transparentne skorelowanie nazw użytkowników zalogowanych w aplikacji Web
z dokonywanymi przez tę aplikację
transakcjami w bazie.
W sytuacji wykrycia naruszenia polityki
bezpieczeństwa istnieje możliwość zdefiniowania odpowiedniej akcji, jaka ma
być podjęta przez system. Przykładowymi sposobami reakcji systemu na atak
może być:
korelacji pozwalają na przykład podjąć
akcję dopiero w sytuacji, gdy dane zdarzenie wystąpi kilkukrotnie w okresie
zdefiniowanego czasu.
•Blokowanie ataku (w czasie rzeczywistym)
»»blokuje natychmiastowo pakiet
oraz połączenie,
»»w trybie „sniffer” urządzenie wysyła
pakiet z flagą TCP Reset do serwera/klienta w celu zerwania połączenia,
»»po wykonanej próbie ataku intruz
może w dalszym ciągu połączyć się
z serwerem.
•Blokowanie źródła ataku
»»blokuje źródło na zdefiniowany
przez administratora okres czasu,
»»całość dalszej komunikacji będzie
blokowana,
»»możliwość blokowania IP, ID sesji
bądź aktywności danego użytkownika.
•Dodatkowo
»»monitorowanie dalszych czynności
użytkownika,
»»wysyłanie informacji o zajściu
zdarzenia,
Funkcją, na którą należy zwrócić szczególną uwagę jest tzw. Universlal User
Tracking.
Ewentualne nadużycia bezpieczeństwa
dokonane w bazie danych zostaną przypisane do określonego użytkownika
aplikacji.
Jak już wspomniano, WAF posiada możliwość rozpoznawania użytkowników,
korzystających z aplikacji Web bez ko-
Korelacja dokonywana jest na podstawie nazwy użytkownika, a nie adresu
IP urządzenia z jakiego użytkownik
Śledzenie użytkowników
Rys.3 Mechanizm działania modułu Correlated Attack Validation
18
Nowości
go z odpowiednimi wzorcami oraz poprzez aktywne skanowanie bazy danych
w poszukiwaniu wrażliwych informacji,
podatności lub naruszeń uprawnień.
Zgromadzone informacje można w automatyczny sposób wykorzystać do
porównania zgodności z międzynarodowymi regulacjami, takimi jak SOX, HIPAA, GLBA, PCI czy CA 1386.
Sposoby wdrożenia
Rys.4 Mechanizm działania funkcji Universal User Tracking
łączy się z serwerem aplikacyjnym. Takie rozwiązanie pozwala na śledzenie
użytkowników, łączących się poprzez
popularne serwery proxy lub z sieci prywatnych translowanych na jeden adres
publiczny.
Warto zauważyć również, że najczęściej
aplikacja jest zbudowana w ten sposób,
że zapytania do baz danych są wykonywane poprzez samą aplikację z uprawnieniami użytkownika systemowego.
Administrator baz danych nie ma zatem
możliwości rozróżnienia zapytań, przychodzących z serwera aplikacyjnego.
Jednak dzięki korelacji informacji pochodzących z obu modułów DSG i WAF,
SecureSphere w sposób precyzyjny potrafi określić, które zapytanie do bazy
danych jest związane z konkretnym zapytaniem od użytkownika do serwera
aplikacyjnego.
Audytowanie i ocena baz danych
Działalność użytkowników i administratorów baz danych często nie jest w żaden sposób kontrolowana, co może prowadzić do naruszenia podstawowych
zasad bezpieczeństwa. Wykorzystując
wspomniany wcześniej mechanizm
Universal User Tracking można w łatwy
sposób - na podstawie analizy ruchu lub
wykorzystując odpowiednich agentów
bezpośrednio na bazie danych - audytować działalność użytkowników oraz administratorów. Jest to mechanizm nie-
zależny od samej bazy danych, a co za
tym idzie, nie obciąża jej dodatkowymi
zadaniami oraz nie powoduje konfliktów administracyjnych. Rozbudowany
moduł raportujący na podstawie zebranych danych audytowych w szybki
Istnieje wiele sposobów wdrożenia
elementów systemu SecureSphere,
w zależności od trybu działania i oczekiwanej funkcjonalności. Najpopularniejszym modelem wdrożenia jest tryb
mostu (bridge), w którym urządzenie
kontroluje ruch sieciowy in-line i działa
na poziomie warstwy drugiej modelu
ISO/OSI. W celu podniesienia niezawodności systemu istnieje możliwość zbudowania tzw. klastra przy wykorzysta-
Trzeba przyznać, że SecureSphere jest jednym
z nielicznych rozwiązań, które nie skupia się tylko
na chronieniu aplikacji Web, ale idzie o krok dalej,
dostarczając rozwiązanie kontrolujące ruch do baz danych,
oferuje kompletny system ochrony aplikacji. Innowacyjne
rozwiązania, takie jak automatyczne nauczanie profili
aplikacji, śledzenie aktywności użytkowników aplikacji
Web oraz baz danych, wyznaczają kierunki rozwoju
Firewalli Aplikacyjnych.
i wygodny sposób może przedstawić
w wybranej formie aktywność użytkowników w poszczególnych zasobach bazy
danych.
niu otwartego protokołu VRRP (Virtual
Redundant Router Protocol) lub własnego protokołu IMPVHA (Imperva High
Availability).
Database Assesment to kolejna innowacyjna funkcjonalność Secure Sphere
– pozwala ona na ocenę stanu bezpieczeństwa bazy danych – co jest bardzo
istotnym zagadnieniem, biorąc pod
uwagę fakt coraz częstszych ataków, wykorzystujących podatności baz danych
lub słabości haseł. Badanie bazy danych
odbywa się w dwojaki sposób – poprzez
pasywną analizę ruchu i porównywanie
Innym sposobem jest wdrożenie w trybie routera – urządzenie pracuje w warstwie trzeciej modelu ISO/OSI i posiada
możliwość translowania adresów NAT.
Web Application Firewall może również
pracować jako Reverse Proxy (w tym trybie system może modyfikować zawartości pakietów, np. podpisywać Cookies
lub modyfikować URLe) lub Transparent
Reverse Proxy. W przypadku ruchu za-
© SOLIDEX, 2008
19
Nowości
Gateway Models
G4
G8/XBEAM
G16
Throughput
500Mb/Sec
1Gb/Sec
2Gb/Sec
Max Transactions per Second
22,000
36,000
44,000
Max Recommended Web Servers
50
100
200
Form Factor
1U; Fault Tolerant
Model 2U
1U; Fault Tolerant
Model 2U
Fault Tolerant
Model 2U
Deployment mode
Bridge, Router, Proxy
or Monitor
or Monitor
or Monitor
Max Inline Bridge Segments
2
2
2
Max Routing Interfaces
5
5
5
Management Interfaces
1
1
1
High Availability
Fail Open, IMPVHA,
VRRP
Fail Open, IMPVHA,
VRRP
Fail Open, IMPVHA,
VRRP
Integrated Management Option
Yes
Yes
No
Fault Tolerance
Available
Available
Yes
Gateway Models
G4
G8/XBEAM
G16
2Gb/Sec
Tab.1 Web Application Firewall (WAF)
Throughput
500Mb/Sec
1Gb/Sec
Max SQL queries
50,000
100,000
200,000
Form Factor
1U; Fault Tolerant
Model 2U
1U; Fault Tolerant
Model 2U
1U; Fault Tolerant
Model 2U
Deployment mode
or Monitor
or Monitor
or Monitor
Max Inline Bridge Segments
2
2
2
Max Routing Interfaces
5
5
5
Management Interfaces
1
1
1
High Availability
Fail Open, IMPVHA,
VRRP
Fail Open, IMPVHA,
VRRP
Fail Open, IMPVHA,
VRRP
Integrated Management Option
Yes
Yes
No
Fault Tolerance
Available
Available
Yes
•graficznego interfejsu zarządzającego dostępnego poprzez przeglądarkę Web.
Serwer zarządzający MX jest dostępny
jako dedykowane rozwiązanie typu appliance. Moduły zabezpieczeń również
można zakupić jako dedykowane urządzenia lub licencję na oprogramowanie,
które następnie może zostać zainstalowane na urządzeniu Crossbeam z serii X.
W artykule zostały przedstawione parametry poszczególnych modeli urządzeń.
Podsumowanie
Trzeba przyznać, że SecureSphere jest
jednym nielicznych rozwiązań, które nie
skupia się tylko na chronieniu aplikacji
Web, ale idzie o krok dalej, dostarczając rozwiązanie kontrolujące ruch do
baz danych, oferuje kompletny system
ochrony aplikacji. Innowacyjne rozwiązania, takie jak automatyczne nauczanie
profili aplikacji, śledzenie aktywności
użytkowników aplikacji Web oraz baz
danych, wyznaczają kierunki rozwoju
Firewalli Aplikacyjnych. Zastosowanie
systemu Imperva SecureSphere może
przynieść olbrzymie korzyści, podnosząc poziom bezpieczeństwa aplikacji,
które najczęściej są dostępne globalnie
poprzez sieć Internet. Wbudowany automatyzm pozwala również na szybkie wprowadzanie nowych usług, nie
zmniejszając przy tym poziomu bezpieczeństwa całego systemu.
Tab.2 Database Security Gateway (DSG)
szyfrowanego HTTPS SecureSphere nie
terminuje sesji SSL, a jedynie odszyfrowuje kopię ruchu oryginalnego, dzięki
temu nie następuje degradacja wydajności urządzenia. Przechowywanie odpowiednich kluczy kryptograficznych
oraz realizacja zadań związanych z deszyfracją mogą odbywać się bezpośrednio w urządzeniach SecureSphere lub
w dedykowanych modułach sprzętowych HSM firm nCipher lub SafeNet .
Architektura i urządzenia
System SecureSphere posiada klasyczną
trójwarstwową architekturę złożoną z :
•serwera zarządzającego – MX Management Server,
•modułów zabezpieczeń – Web Application Firewall, Database Security Gateway, Database Monitoring
Gateway,
Witold Mazanek
20
technologie
Mechanizmy bezpieczeństwa w bezprzewodowych
rozwiązaniach Cisco Systems
W erze ogólnodostępnego Internetu oraz stosunkowo tanich i szeroko dostępnych urządzeń pozwalających
korzystać z dobrodziejstw sieci Web w sposób bezprzewodowy, coraz większy nacisk kładzie się na zapewnienie
bezpieczeństwa transmisji. To co jest największą zaletą transmisji bezprzewodowej, czyli ogólna dostępność
oraz mobilność, jest również największą wadą. Z punktu widzenia bezpieczeństwa systemu informatycznego
stwarza ona możliwość podsłuchiwania transmisji w zasadzie z dowolnego miejsca w obrębie zasięgu sieci.
Standaryzowane mechanizmy
bezpieczeństwa w WiFi
Pierwsze próby stworzenia zabezpieczenia dla nowego typu zagrożeń zostały podjęte wraz
z pojawieniem się standardów 802.11. Do uwierzytelniania oraz szyfrowania
danych zastosowano mechanizm WEP. Szybko jednak
okazało się, że WEP posiada
znaczne słabości i obecnie jest do złamania nawet
przez średnio zaawansowanego hackera w kilkanaście
minut.
Odpowiedzią ze strony projektantów było wprowadzenie nowych standardów
WPA, a zaraz po nim WPA2.
oraz jasno zdefiniowano mechanizmy generowania wektora IV,
•MIC (Message Integrity Check) –
poprawia bezpieczeństwo z punktu
Samo szyfrowanie transmisji nie jest wystarczającym
mechanizmem, zapewniającym bezpieczeństwo danych. Konieczne jest również zadbanie o właściwe
i bezpieczne uwierzytelnianie użytkowników. Zarówno w standardzie WPA,
jak i WPA2, możliwe jest
zastosowanie uwierzytelniania PSK oraz 802.1x.
Wprowadzenie WPA miało na celu stworzenie mechanizmu zwiększającego
bezpieczeństwo sieci WLAN
głównie przez eliminację
największych słabości WEP
z jednoczesnym zapewnieniem możliwie dużej kompatybilności wstecz ze starszymi urządzeniami klienckimi.
Wraz z WPA wprowadzono:
•TKIP (Temporal Key Integrity Protocol) – mechanizm
bazuje na tym samym
algorytmie szyfrowania co
WEP, mianowicie RC4. Poprawiono
w nim znacznie zarządzanie kluczami (inny klucz dla każdego pakietu)
Kolejnym krokiem mającym na celu
zwiększenie bezpieczeństwa transmisji było zastosowanie „mocniejszego”
algorytmu szyfrowania danych (AES).
Wymaga to jednak wsparcia ze strony urządzeń – nie
tylko z punktu widzenia
oprogramowania, ale również sprzętu.
widzenia integralności danych oraz
zapewnia ochronę przed fałszowaniem ramek.
Uwierzytelnianie PSK polega na zastosowaniu klucza
współdzielonego.
Klucz
taki jest znany klientowi
oraz urządzeniu uwierzytelniającemu (punkt dostępowy). Na jego podstawie
generowany jest cały zbiór
innych kluczy wykorzystywanych potem w różnych
obszarach transmisji. Metoda PSK ze względu na możliwość zastosowania „słabego” klucza oraz fakt, iż PSK
jest jedynym parametrem
używanym do uwierzytelnienia, nie
powinna być stosowana w dużych sieciach korporacyjnych. Jednocześnie
nie wymaga ona żadnych dodatko-
© SOLIDEX, 2008
21
technologie
bezpiecznych sieci bezprzewodowych. W dalszej część artykułu zostanie przybliżone kilka z nich.
Centralne zarządzanie
Rys.1 Uwierzytelnianie w oparciu o 802.1x
wych komponentów, co powoduje, iż
doskonale nadaje się do zastosowań
domowych, w firmach typu SOHO lub
tam, gdzie bezpieczeństwo danych
oraz uwierzytelnianie klientów nie ma
dużego znaczenia.
Drugą metodą jest wykorzystanie standardu 802.1x. Metoda ta – poza urządzeniem uwierzytelniającym – wymaga zastosowania jednego z protokołów
jak PEAP lub umożliwia użycie haseł
jednorazowych jak PEAP-GTC.
Co może Cisco Systems?
Rozwiązania bezprzewodowe oferowane przez Cisco Systems posiadają
zaimplementowane standardy wymienione wyżej oraz cały zbiór indywidualnych funkcjonalności, dzięki
którym możliwa jest budowa wysoce
Wprowadzenie WPA miało na celu stworzenie
mechanizmu zwiększającego bezpieczeństwo sieci
WLAN głównie przez eliminację największych słabości
WEP z jednoczesnym zapewnieniem możliwie dużej
kompatybilności wstecz ze starszymi urządzeniami
klienckimi.
EAP, serwera RADIUS oraz serwera
przechowującego bazę użytkowników.
Sercem systemu Unified Wireless jest
kontroler bezprzewodowy, do którego została przeniesiona większość
„inteligencji” punktów dostępowych.
Rozwiązanie takie pozwala na efektywniejsze oraz szersze zarządzanie
środowiskiem radiowym, mobilnością
oraz bezpieczeństwem. Punkty dostępowe pełnią prawie wyłącznie rolę
konwerterów medium przewodowego na bezprzewodowe.
Dynamiczne przypisywanie polityki
Kontroler posiada funkcjonalność
umożliwiającą nadpisywanie parametrów, takich jak: QoS, ACL czy VLAN na
podstawie informacji zwrotnych z serwera RADIUS, dzięki czemu możliwe
jest dostosowywanie polityk bezpieczeństwa oraz jakości transmisji, nie
tylko dla sieć WLAN (wybrane SSID),
ale również dla konkretnego użytkownika.
Wykluczanie klientów
Kontroler pozwala monitorować połączenia i reagować na nieudane próby lo-
Dzięki zastosowaniu serwera RADIUS
oraz protokołu EAP możliwe jest uwierzytelnianie konkretnego użytkownika
(certyfikat, nazwa, hasło) w systemie,
jak również samego systemu w stronę
użytkownika (certyfikat serwera).
Na rysunku nr 2 został przedstawiony
schemat komunikacji między komponentami systemu podczas procesu
uwierzytelniania z użyciem 802.1x. Jako
przykładowa została wybrana metoda
EAP-TLS, która wymaga certyfikatu zarówno po stronie serwera, jak i klienta.
Warto nadmienić, iż na potrzeby różnych systemów stworzono kilka odmian EAP, z których część nie wymaga
certyfikatów jak EAP-FAST, wymaga
jedynie certyfikatu po stronie serwera
Rys.2 Przykład komunikacji 802.1x z EAP-TLS
22
technologie
gowania do sieci, powielanie adresów IP
lub ataki sieciowe wykryte przez system
IPS, dzięki czemu użytkownicy, których
działanie łamie politykę bezpieczeństwa
instytucji, mogą być czasowo „odcinani”
od możliwości logowania.
Blokowanie ruchu Peer-to-peer
Mówiąc o bezpieczeństwie sieci bezprzewodowej, należy pamiętać nie tylko o samej sieci, ale również o jej użytkownikach. Dzięki zastosowaniu Cisco
Unified Wireless możliwe jest blokowanie połączeń pomiędzy klientami
bezprzewodowymi zarówno poprzez
kontroler, jak również bezpośrednio –
bezprzewodowo.
Wysoka niezawodność
Jednym z aspektów bezpieczeństwa jest
zapewnienie odporności sieci na awarie.
Rozwiązanie Cisco Unified Wireless pozwala na budowę samouzdrawiających
sieci, w których nie ma pojedynczego
punktu awarii. Sieć nie tylko potrafi sobie radzić z fizycznymi uszkodzeniami,
ale także automatycznie reagować na
zwiany w dynamicznym środowisku radiowym, poprzez unikanie interferencji,
równoważenie obciążenia czy mechanizmy optymalizacyjne.
Wykrywanie innych sieci i urządzeń
Dzięki zastosowaniu przyjaznego interfejsu użytkownika możliwe jest monitorowanie przestrzeni objętej zasięgiem
sieci radiowej pod kątem pokrycia oraz
obecności wszystkich innych urządzeń
oraz sieci bezprzewodowych. W przypadku wykrycia nieautoryzowanych
klientów lub sieci – system umożliwia
ich skuteczne zakłócanie.
Ochrona ramek zarządzających
Jednym z ataków sieciowych, które
mogą sprawić problemy użytkownikom mobilnym, jest wysyłanie przez
atakującego ramek zwanych z ang.
disassociation frames. Jak do tej pory,
ramki takie nie były w żaden sposób
autoryzowane lub szyfrowane, co w łatwy sposób mogło być wykorzystane
w celu utrudnienia pracy. Rozwiązanie Cisco Unified Wireless pozwala na
ochronę ramek zarządzających przez
dodanie do każdej z nich miniaturowej sygnaturki, dzięki czemu stacja
końcowa jest w stanie zweryfikować
tożsamość nadającego i nie reagować
na ramki z błędną sygnaturką.
Te oraz wiele innych mechanizmów
umożliwiają implementację skutecznych metod ochrony sieci bezprzewodowej przed nieuwierzytelnionym
dostępem oraz kradzieżą danych.
Celem poznania pełnych możliwości
Cisco Unified Wireless zachęcamy do
zapoznania się z ogólnie dostępnymi
dokumentami na stronach Cisco Systems, dotyczącymi bezpieczeństwa
sieci bezprzewodowych.
Krzysztof Lembas
Kierownik Zespołu
Konsultantów
Naszą misją jest pomoc
w efektywnym rozwoju
Waszych organizacji
www.SOLIDEX.com.pl
© SOLIDEX, 2008
23
technologie
Fiber to the Office – Fiber to the Desk
W dzisiejszych czasach najnowsze modele komunikacji oraz systematycznie rosnące wymagania, dotyczące
szybkości transmisji danych, wymagają perspektywistycznie zorientowanych koncepcji rozwiązań sieciowych.
Trendy jakie zauważamy we współczesnym świecie, wskazują coraz częściej na światłowód jako na medium
będące podstawą współczesnej sieci teletransmisyjnej. Kompetencje, które wychodzą takiemu kierunkowi
rozwoju naprzeciw są prezentowane między innymi przez firmę Microsens, Fiber to the Office – Fiber to the
Desk (Światłowodem do Biura – Światłowodem do Biurka).
nostojących oraz urządzeń przystosowanych do montażu w kablowych kanałach naściennych lub podłogowych
puszkach dystrybucyjnych.
Schematyczny obraz rozwiązania
przedstawiony został na rysunku nr 1.
Opis koncepcji FTTO (Fiber to the
Office – Światłowodem do Biura)
Dzięki zastosowaniu światłowodów
otrzymujemy możliwość transmisji danych na znacznie większe odległości
w porównaniu do zwykłego połączenia przewodem miedzianym. Ta właściwość umożliwia scentralizowanie dystrybucji sieciowej w jednym punkcie.
Taka koncepcja jest określana mianem
„collapsed backbone”.
Dzięki wykorzystaniu takiego rozwiązania nie ma już konieczności tworzenia wielu punktów dystrybucyjnych,
a co za tym idzie - nie ma konieczności instalowania dodatkowego wyposażenia. W centrum dystrybucyjnym
umieszczony jest konwerter, którego
zadaniem jest konwertowanie portów
miedzianych na porty światłowodowe.
Można zatem wykorzystać aktywne
urządzenia wyposażone w porty miedziane.
Światłowody podłączone do media
konwertera - w przypadku Fiber to the
Wszystkie urządzenia końcowe mogą
być podłączone do sieci poprzez standardowy kabel miedziany.
Urządzenia
Rys.1 Fiber to the Office
Office dołączone są bezpośrednio do
switchy dostępowych, które znajdują
się w niewielkiej odległości od urządzeń
końcowych. Przełączniki, konwertujące
każdy port centralnego przełącznika
na cztery porty dostępowe w zależności od wybranego rozwiązania, mogą
występować w postaci urządzeń wol-
Warto wspomnieć, że wszystkie przełączniki są
urządzeniami bezgłośnymi, to znaczy nie posiadają
żadnych ruchomych, mechanicznych elementów systemu
chłodzenia. Po zamontowaniu takich urządzeń użytkownik
posiada dostęp jedynie do gniazd końcowych w postaci
RJ45.
Wieloportowe konwertery mediów
– mają postać kompaktowych urządzeń Ethernet lub Fast Ethernet o dużej gęstości portów. Możliwe jest zabudowanie 24 par portów (skrętka +
światłowód) w urządzeniu o wysokości
1U. Przy Gigabit Ethernet w urządzeniu o wysokości 3U można zrealizować
konwersję do 18 portów. Oprócz wysokiego zagęszczenia portów, systemy
konwersji wyposażone są w redundantne zasilanie, funkcję autocrossing
oraz zarządzanie SNMP/web based.
Maksymalny zasięg transmisji światłowodowej w trybie full duplex dla włókien wielomodowych to: 2 km dla Fast
Ethernet oraz 275/550 m dla Gigabit
Ethernet. Przy włóknach jednomodowych zasięg dla obydwu protokołów
wynosi 15/30/80/125 km w zależności
od wersji interfejsu optycznego. Przy
zastosowaniu systemu modularnego
istnieje możliwość konwersji różnych
protokołów w jednym chassis.
Urządzenia końcowe – switche wolnostojące występują w wersji FE oraz GbE
24
technologie
dowania, a co za tym idzie poszerzania
struktury sieciowej bez konieczności
instalowania dodatkowego okablowania światłowodowego.
Rys.2 Power over Ethernet IEEE 802.3af
i mogą być montowane w kanałach
instalacyjnych lub podpodłogowych.
Są to technologicznie zaawansowane przełączniki warstwy drugiej z zaimplementowanymi mechanizmami
nadawania priorytetów z warstwy trze-
Warto wspomnieć, że wszystkie przełączniki są urządzeniami bezgłośnymi,
to znaczy nie posiadają żadnych ruchomych, mechanicznych elementów
systemu chłodzenia. Po zamontowaniu
takich urządzeń użytkownik posiada
dostęp jedynie do gniazd końcowych
w postaci RJ45.
Dodatkowo oferowane jest oprogramowanie Device Manager, umożliwiające oprogramowanie do identyfikacji adresów MAC, które uniemożliwia
dostęp do centralnych zasobów nieuprawnionym użytkownikom.
W przypadku koncepcji Fiber to the Desk sposób realizacji
jest bardzo podobny do tego, z jakim spotykamy się
w modelu Fiber to the Office. Jedyna różnica polega
na tym, iż w rozwiązaniu FTTD urządzenia końcowe
są podłączone do switchy dostępowych za pomocą
patchcordów światłowodowych.
ciej, CoS dla aplikacji VoIP oraz z obsługą sieci VLAN zgodnie z IEEE 802.1pq.
Switche wspierają również zasilanie
urządzeń końcowych poprzez kabel
miedziany PoE (Power over Ethernet),
zgodnie ze standardem IEEE 802.3af.
Oprócz interfejsu światłowodowego
Fast Ethernet posiadają, w zależności
od wersji, 4 lub 6 portów RJ45. Zasięg
transmisji poszczególnych protokołów
jest analogiczny jak w przypadku konwerterów wieloportowych i modularnych. W wersji miniaturowej 45x45 mm
do montażu w kanałach kablowych
i podpodłogowych przełączniki można
wyposażyć w uplink światłowodowy
Gigabit Ethernet. Ma on postać portu
optycznego zabudowanego na stałe
lub modularnego, jako transceiver SFP.
Przełączniki dzięki downlinkowi miedzianemu posiadają możliwość kaska-
zakłóceń, izolacja galwaniczna,
•możliwość transmisji na znacznie
większe odległości niż w przypadku
kabla miedzianego,
•beznarzędziowy montaż snap-in
urządzeń instalacyjnych,
•kompatybilność urządzeń instalacyjnych z systemem Mosaic m.in.,
Legrand, Ackermann,
•integracja z telefonią IP,
•efektywna administracja.
Opis koncepcji FTTD (Fiber to the
Desk)
W przypadku koncepcji Fiber to the
Desk sposób realizacji jest bardzo podobny do tego, z jakim spotykamy się
w modelu Fiber to the Office. Jedyna
różnica polega na tym, iż w rozwiązaniu FTTD urządzenia końcowe są
podłączone do switchy dostępowych
za pomocą patchcordów światłowodowych.
W związku z tym konieczne jest, aby
wszystkie urządzenia końcowe zostały
wyposażone w porty światłowodowe,
a same przełączniki dostępowe różnią
się od tych wykorzystanych w koncepcji FTTO tym, że nie posiadają portów
miedzianych RJ45.
Osobną pozycją w rodzinie produktów
firmy MICROSENS jest Network Management Platform Software. Dzięki
wykorzystaniu tego oprogramowania
otrzymujemy możliwość:
•konfiguracji, zarządzania oraz administracji urządzeniami,
•graficznego podglądu urządzeń,
•graficznej wizualizacji sieci,
•graficznego uwidocznienia alarmów
i uszkodzeń urządzeń,
•integracji z urządzeniami innych
producentów poprzez SNMP.
Podstawowe zalety rozwiązań FTTO:
•pionowe i poziome okablowanie
światłowodowe budynku,
•elastyczność i skalowalność sieci,
•bezpieczeństwo transmisji, brak
Rys.3 Fiber to the Desk
© SOLIDEX, 2008
25
technologie
Taki model rozwiązania wymusza zastosowanie dodatkowych konwerterów
w przypadku konieczności podłączenia
do sieci urządzeń, które nie posiadają
możliwości rozbudowy o dodatkowy
port optyczny.
Podsumowanie
Zarówno w koncepcji Fiber to the
Office jak również Fiber to the Desk,
otrzymujemy możliwość transmisji
na znacznie większe odległości niż
w przypadku klasycznych sieci komputerowych, opartych o klasyczne okablowanie miedziane.
Dzięki takiej własności obie technologie pozwalają na rezygnację z węzłów
sieciowych tworzonych na każdym piętrze.
Znaczącą różnicą pomiędzy koncepcją
FTTO, a koncepcją FTTD jest sposób
podłączania urządzeń końcowych do
sieci. W przypadku FTTO jest to zwykły
kabel miedziany, zaś w przypadku modelu FTTD jest to patchcord światłowodowy.
Taka sytuacja eliminuje możliwość zastosowania zasilania urządzeń końcowych PoE (Power over Ethernet), ale
tylko w przypadku koncepcji Fiber to
the Desk.
Warto zauważyć, iż przy rozwiązaniach
FTTO każdy kilkuportowy przełącznik
(lub karta światłowodowa dla FTTD)
może zostać podłączony do konwertera mediów, w centralnym punkcie dystrybucyjnym, pojedynczym światłowodem, co jest możliwe dzięki transmisji
WDM.
Więcej informacji o rozwiązaniach Fiber to the Office i Fiber to the Desk na
stronie producenta:
http://www.microsens.com/ .
Maciej Rudnik
Rys.4 Fiber to the Office
Rys. 5 Fiber to the Desk
26
technologie
TANDBERG VCS - rewolucja w komunikacji wideo
Systemy komunikacji wideo zyskują coraz większą popularność. Wraz z rozwojem sieci komputerowych
oraz wzrostem jakości usług oferowanych przez operatorów, możliwe stało się wykorzystanie komunikacji
wideo nie tylko w środowisku sieci LAN, ale również w sieciach rozległych. W chwili obecnej świat usług
multimedialnych w sieciach IP znajduje się w przełomowym momencie, w którym użytkownicy prócz
standardowej transmisji audio/wideo dostrzegają nowe typy usług, których zaimplementowanie wcześniej
okazywało się zbyt kosztowne lub stopień komplikacji wynikający z integracji różnych standardów stanowił
zaporę do pokonania.
Rozwój nowoczesnych metod
komunikacji
Usługi wideokonferencyjne realizowane były do niedawna w oparciu o dwa
różne modele. Użytkownicy korzystali
z rozwiązań przeznaczonych dla użytku domowego, często darmowych lub
z systemów korporacyjnych opartych
o zamknięte standardy. Wraz z rozwojem i wzrastającą świadomością użytkowników producenci podjęli próbę
integrowania różnych środowisk komunikacyjnych, chociażby za pomocą
otwartego protokołu H.323, który stał
się standardem dla systemów wideokonferencyjnych. W chwili obecnej
można przyjąć założenie, że większość
terminali wideo znajdujących się na
rynku, wspiera w 100% standard H.323.
Kolejnym bodźcem dla producentów do
rozwoju systemów komunikacyjnych
było wymaganie użytkowników, którzy
dążyli do integracji wszystkich narzędzi
komunikacyjnych. Dostrzeżono pewną
niedogodność, wynikającą z użytkowania wielu różnych komunikatorów,
terminali, protokołów. Nadszedł czas,
aby pewne rozwiązania uprościć, wprowadzając mechanizmy, pozwalające na
bezproblemową komunikację. Tym mechanizmem stał się protokół SIP.
stał w oparciu o pewne założenia, które
umożliwiają jego szerokie zastosowanie
w świecie multimediów. Protokół ten
jest bardzo otwarty na implementacje
nowych usług oraz funkcjonalności,
co czyni go w chwili obecnej najdynamiczniej rozwijającym się standardem
w świecie komunikacji audio/wideo.
Tendencja, od której nie ma obecnie odwrotu w świecie wideo, to coraz większy
udział protokołu SIP, przy malejącym
udziale protokołu H.323.
Charakteryzując protokół SIP, wyjaśnić
należy, jak wygląda nawiązywanie połączeń w zależności od użytego modelu.
•Bezpośrednie połączenie dwóch
terminali
•Połączenie za pomocą SIP proxy
•Połączenie za pomocą SIP redirect
(nie omawiane w tym artykule)
W przypadku połączeń bezpośrednich, tak jak w przypadku protokołu
H.323, terminal inicjujący połączenie,
musi znać adres IP drugiego terminala
w sieci, w przeciwnym wypadku nie ma
możliwości nawiązania połączenia. Metoda ta jest najszybsza, polegająca na
bezpośrednim wysłaniu komunikatu
INVITE do „drugiej strony”. Model ten
ma jedną zaletę – jest prosty i szybki,
SIP
Czym właściwie jest protokół SIP ?
SIP jest protokołem sygnalizacyjnym takim jak np. H.323, jednak stworzony zo-
© SOLIDEX, 2008
27
technologie
SIP IP Network
SIP Proxy
INVITE
INVITE
SIP Signaling
100 Trying
Zaznaczyć należy, że proxy nie uczestniczy bezpośrednio w rozmowie,
uczestniczy jedynie w nawiązywaniu
połączenia pomiędzy terminalami (SETUP).
100 Trying
180 Ringing
180 Ringing
200 OK
200 OK
ACK
Media
Model ten przedstawia poniższy schemat:
ACK
RTP Stream
RTP Stream
RTCP Stream
Rys.1 Połączenie za pomocą proxy
natomiast mało elastyczny. Utrzymywanie pełnej bazy numerów IP innych
urządzeń może być dla użytkowników
bardzo uciążliwe.
Niedogodności te można zniwelować,
wykorzystując do zestawiania połączeń SIP proxy server. Urządzenie to
pośredniczy w procesie zestawienia
połączenia, jest więc logicznym odpowiednikiem gatekeepera w sieci opartej o H.323. Wada wynikająca z użycia
tego modelu to zwiększona liczba komunikatów niezbędnych do zestawienia połączenia oraz niebezpieczeństwo
związane z awarią SIP proxy (pojedynczy punkt awarii).
Dla modelu, w którym w sieci obecny
jest komponent SIP Proxy, schemat nawiązania połączenia realizowany jest
w następujący sposób:
•Terminal inicjujący wysyła komunikat
INVITE do serwera SIP proxy.
•Serwer proxy wysyła zapytanie do
terminala docelowego (INVITE).
•Terminal docelowy odpowiada pozytywnie do proxy servera.
•Proxy server przekazuje odpowiedź
do terminala inicjującego.
•Terminal inicjujący wysyła komunikat
ACK do serwera proxy.
•Serwer Proxy wysyła komunikat do
terminala końcowego.
•Fizyczne zestawienie połączenia
(RTP).
Kolejnym bardzo istotnym aspektem
jest łatwość monitoringu i rozwiązywania problemów w protokole SIP. Protokół ten w swojej składni bazuje na HTTP,
wszystkie komunikaty przekazywane
są w trybie tekstowym, co ułatwia analizowanie wszelkich problemów.
zarządza strefą, w skład której wchodzą
terminale, gatewaye oraz inne urządzenia infrastruktury H.323.
• Border Controler
Dedykowane urządzenie zaprojektowane przez firmę TANDBERG, pozwalające w łatwy sposób nawiązać
komunikację w sieci, w której znajdują
się urządzenia bezpieczeństwa sieciowego (np. firewall).
• MCU
TANDBERG VCS
Pozwala na zestawianie połączeń konferencyjnych, czyli takich, w których
biorą udział więcej niż dwa terminale.
Systemy wideo firmy TANDBERG oparte
były do niedawna głównie o protokół
H.323, a co za tym idzie - o rozwiązania
Wraz z rosnącą popularnością standardu SIP, firma TANDBERG wprowadziła możliwość obsługi tego protokołu
Wraz z rosnącą popularnością standardu SIP, firma
TANDBERG wprowadziła możliwość obsługi tego
protokołu bezpośrednio dla terminali wideo.
sprzętowe pełniące funkcje zdefiniowane przez ten standard.
Główne urządzenia używane w środowisku H.323 (wideo) to:
• Terminale H.323
Urządzenie komunikacyjne znajdujące
się po stronie użytkownika (np. wideoterminale z serii Edge95/85/75MXP).
bezpośrednio dla terminali wideo.
Dodatkowo nowe rozwiązania komunikacyjne, takie jak np. system MOVI
- pozwalający komunikować się użytkownikom mobilnym, wyposażonym
w dostęp do Internetu, notebooka oraz
kamerkę internetową - również działają
w oparciu o protokół SIP.
Firma TANDBERG opracowała urządzenie, pozwalające w prosty sposób połąUser A
• Gateway
Urządzenia pozwalające na połączenie
z innymi typami sieci. Najczęściej spotykane gatewaye w systemach wideokonferencyjncyh to: IP-ISDN, IP-3G.
• Gatekeeper
Urządzenie opcjonalne w systemie
H.323, które świadczy usługi kontroli
dostępu, kontroli pasma, rozwiązywania planu numeracyjnego. Gatekeeper
User B
SIP IP Network
INVITE
100 Trying
SIP Signaling
User B
180 Ringing
200 OK
ACK
Media
User A
RTP Stream
RTP Stream
RTCP Stream
Rys.2 Połączenie punkt - punkt
28
technologie
Rosnąca popularność
protokołu SIP oraz coraz
większe wymagania
klientów odnośnie
funkcjonalności systemów
wideo pozwalają
przypuszczać, że protokół
ten stanie się niebawem
standardem dla aplikacji
multimedialnych.
Rys.3 Tandberg Gatekeeper
czyć dwa światy H.323 oraz SIP. TANDBERG VCS jest dedykowaną platformą,
która potrafi pełnić jednocześnie funkcję gatekeepera H.323 jak SIP Proxy.
W zależności od wymagań terminale
wideo mogą być jednocześnie zarejestrowane poprzez protokół SIP lub
H.323.
gatekeeper z dodaną możliwością obsługi protokołu SIP.
TANDBERG VCS - Expressway Application:
Urządzenie z punktu widzenia terminali H.323 zachowuje się jak typowy border controller. Dodana jednak została
lem), jak i w sieci zewnętrznej. Zalecane
jest uruchomienie tej usługi wewnątrz
sieci korporacyjnej.
Z punktu widzenia kompatybilności
platforma VCS jest w pełni zgodna
z używanymi do tej pory systemami
H.323 (gatekeepery oraz border controllery).
Architektura systemu opartego
o VCS
System oparty o TANDBERG VCS powinien zawierać następujące elementy:
•VCS – Control Application
•VCS – Expressway Application
Wdrożenie systemu VCS zakłada instalację dwóch urządzeń. Jedno z nich
znajduje się wewnątrz sieci LAN organizacji, natomiast kolejne znajduje się
w publicznej sieci, za firewallem.
W tym przypadku urządzenia pełnią
następujące funkcje:
TANDBERG VCS – Controll Aplication:
Urządzenie pełni jednocześnie funkcję H.323 gatekeepera oraz SIP proxy.
W skrócie można przyjąć, że VCS –
Controll Aplication zainstalowany wewnątrz sieci LAN organizacji, dla urządzeń H.323 widziany jest jako zwykły
Rys.4 Tandberg MCU
możliwość bezpiecznej komunikacji za
pomocą protokołu SIP.
Zaawansowane możliwości
Wspierane są następujące standardy:
TANDBERG VCS dostarcza następujących funkcjonalności:
•H.323: ITU Standard H.460.18 & 19
and Assent
•SIP: IETF Standard STUN Relay &
Discovery
•Kontrola protokołu SIP/H.323 w jednym urządzeniu – Control Application,
•Expressway – bezpieczeństwo połączeń,
•FindMe.
TANDBERG – FindMe:
System można wyposażyć w funkcję
FindMe, która zostaje wdrożona zarówno wewnątrz sieci LAN (przed firewal-
Controll Application
Funkcjonalność Control umożliwia wewnętrzną kontrolę i administrację sie-
© SOLIDEX, 2008
29
technologie
•aplikacja funkcjonuje w ramach
istniejącej infrastruktury sieciowej,
włączając gatekeeper and border
controller, zapewniającego ochronę
inwestycji klienta.
cią wideo dla wszystkich stacji końcowych SIP i H.323. Korzystanie z serwera
(VCS) z zastosowaną funkcjonalnością
Control, pozwala na współpracę protokołów SIP i H.323, rejestrację stacji końcowych wraz z MCU, kontrolę przepustowości, jak również współpracę IPv6
z IPv4.
TANDBERG VCS –
Controll Aplication
FindMe dostarcza prostego interfejsu
użytkownika i pozwala korzystającym
z niego osobom, wybrać do pięciu
rożnych urządzeń, które wybierane
są podczas wykonywania połączenia.
Użytkownik może także ustalić pięć
dodatkowych urządzeń, które będą
Rosnąca popularność protokołu SIP
oraz coraz większe wymagania klientów odnośnie funkcjonalności systemów wideo pozwalają przypuszczać,
że protokół ten stanie się niebawem
standardem dla aplikacji multimedialnych. Firma TANDBERG dostrzega te
możliwości i już teraz wprowadza obsługę tego protokołu do coraz większej
ilości swoich produktów. Wraz z innymi systemami, takimi jak np. Content
Server, Movi, MCU – możliwe staje się
zbudowanie systemu, który działa niezależnie od użytego protokołu, sieci
oraz miejsca pobytu lub dostępności
danego użytkownika. Wszystkie te
udogodnienia pozwalają przypuszczać, że niebawem komunikacja wideo
stanie się dostępna dla coraz większej
grupy odbiorców.
TANDBERG VCS –
Expressway
INTERNET
Rys. 5 Przykład wdrożenia VCS
Expressway
Funkcjonalność ta pozwala na łatwe
i bezpieczne przekraczanie zapór sieciowych, zarówno dla terminali H.323,
jak i SIP. Rozwiązanie to jest zgodne ze
standardami ITU oraz IETF.
FindMe
FindMe umożliwia użytkownikom sprawowanie kontroli, kiedy i jak nawiązywany jest z nimi kontakt. Dzięki FindMe
można dotrzeć do rozmówcy pod jednym i tym samym numerem, zamiast
wymagać od innych, aby każdy łączył
się osobno z urządzeniem komunikacyjnym.
odbierać połączenie w razie braku odpowiedzi albo kiedy podstawowe urządzenie jest zajęte.
Tomasz Cieśliński
Kluczowe korzyści:
•możliwości FindMe wynoszą branżę
wideokonferencji na wyższy poziom
personalizacji i jakości i interakcji,
•czynią łączność wideo bardziej swobodną poprzez uniezależnienie protokołu od końcowego użytkownika,
•wiodące rozwiązanie w zakresie
komunikacji wideo pod względem
możliwości współpracy pomiędzy
SIP a H.323,
•funkcjonalność wspiera wyraźną
ścieżkę migracji do SIP i urzeczywistnia korzyści płynące z połączenia SIP
i H.323,
30
rozwiązania
Provider-1 wielodomenowy system
zarządzania bezpieczeństwem
Do systemów zabezpieczeń środowiska teleinformatycznego przykładana jest szczególna waga. Pełnią one
rolę ochrony często kluczowych zasobów. Osoby odpowiedzialne za zabezpieczenie tych zasobów dobierają
starannie wdrażane systemy. Najczęściej pod uwagę brane jest bogactwo funkcjonalności czy dokładność
w analizowaniu i wykrywaniu różnego rodzaju prób ataków. Nie mniej ważnym elementem jest sposób
zarządzania systemem zabezpieczeń, co więcej - często właśnie moduł zarządzania, bardzo skomplikowanymi
przecież elementami zabezpieczeń, stanowi o prawdziwej wartości systemu.
Od lat niezrównaną opinią cieszą się
systemy zabezpieczeń firmy Check
Point, a ich wysoka pozycja na rynku
osiągnięta została w dużej mierze dzięki staranności w budowaniu systemów
zarządzania. Provider-1 to rozszerzenie
sztandarowego systemu zarządzania
Check Point - SmartCenter o możliwość
kontroli i zarządzania wieloma grupami
polityk bezpieczeństwa, bazami obiektów i użytkowników w wielu, często
niezależnych od siebie, instytucjach.
Czym jest zatem Provider-1?
W tytule niniejszego artykułu Provider-1
został nazwany wielo-domenowym
systemem zarządzania. Spróbujmy zatem zdefiniować domenę zarządzania,
tak aby później móc określić funkcje
systemu wielodomenowego. Domenę
zarządzania możemy określić jako niezależny zbiór reguł polityk bezpieczeństwa, posiadający własną bazę obiektów, własną bazę użytkowników oraz
własne pliki logów. W skład domeny
zarządzania wchodzą obiekty, reprezentujące poszczególne elementy zabezpieczeń, takie jak: firewalle, systemy
pracujące w trybie wysokiej dostępności (tzw. klastry high - availability), systemy umożliwiające zdalny dostęp do
zasobów instytucji itp. Zazwyczaj firmy, począwszy od małych aż po duże
przedsiębiorstwa, posiadają jedną domenę zarządzania, odwołującą się do
jednego repozytorium obiektów czy
użytkowników. Przykładem jednej domeny zarządzania jest domena stworzona w ramach systemu Check Point
Smart Center. Posiada on jedną wspólną bazę obiektów, użytkowników oraz
jedną bazę reguł polityki zabezpieczeń, umożliwiając zarządzanie wieloma urządzeniami, wymuszającymi tą
politykę, np. firewalle, bramy VPN.
Może jednak zajść potrzeba objęcia
kilku domen zarządzania jednym systemem nadrzędnym, udostępniającym jedną bazę wspólnych obiektów
i narzucającym na podległe domeny
odpowiednich reguł zabezpieczeń.
Taka sytuacja może mieć miejsce, kiedy jedna firma składa się z kilku spółek,
posiadających własną infrastrukturę zabezpieczeń. Wówczas istnieje potrzeba
wdrożenia sytemu, wymuszającego
odgórnie odpowiednie reguły bezpieczeństwa, jednocześnie pozostawiając
spółkom możliwość samodzielnego
tworzenia domen zarządzania i administracji tą spółką. Innym przykładem
może być operator lub właściciel centra
danych (data center), świadczący usługi zarządzania bezpieczeństwem (ang.
managed security services). W ramach
jednego systemu, będącego w posiadaniu operatora, należy wydzielić kilka
systemów zarządzania, z których każdy
będzie odpowiedzialny za zarządzanie zasobami osobnego klienta. Każdy
z systemów musi mieć zapewnioną
odpowiednią poufność i integralność.
Jednocześnie operator musi posiadać
kontrolę nad tymi systemami i może
narzucać na nie odpowiednie polityki
bezpieczeństwa.
Takim właśnie systemem jest Provider-1, umożliwiający budowanie skalowanego, wielodomenowego systemu
zarządzania.
Architektura systemu
Aby lepiej zrozumieć system Provider-1,
przyjrzyjmy się jego architekturze. Podstawowa trój-warstwowa architektura
© SOLIDEX, 2008
31
rozwiązania
systemów Check Point złożona z punktów wymuszeń (enforcement points),
serwera zarządzania oraz graficznego
interfejsu użytkownika GUI została
również przeniesiona do systemu Provider-1. Dzięki takiej budowie możliwe
jest szybkie i skuteczne tworzenie polityk zabezpieczeń oraz ich dystrybucja
do odpowiednich punktów realizujących funkcję wymuszenia tych polityk.
Provider-1 jest systemem przeznaczo-
zarządzania - ta nazwa będzie dalej
stosowana, aby nawiązać do nomenklatury Check Point), zawierającymi
bazę obiektów, użytkowników i polityki zabezpieczeń. CMA zarządzają
punktami wymuszeń polityki (np. firewallami), należącymi do danego Klienta. Poprzez CMA tworzone są również
polityki dla elementów zabezpieczeń
danego Klienta.
Provider-1 jest systemem przeznaczonym do zarządzania
wieloma rozproszonymi punktami wymuszeń
instalowanymi w sieciach, które mogą należeć do różnych
klientów, różnych firm czy różnych oddziałów.
tego specjalny system (Customer Log
Module).
CMA jest odpowiednikiem serwera zarządzającego SmartCenter w standardowym modelu architektury systemów
zabezpieczeń Check Point, ale w przeciwieństwie do SmartCenter, które jest
kompletnym, niezależnym systemem,
CMA jest elementem przechowywanym przez Multi-Domain Server (MDS),
czyli kolejny element architektury Provider-1. Pomimo tego, że każdy MDS
może pomieścić wiele osobnych CMA
(do pięciuset), są one kompletnie odizolowane od siebie, gwarantując Klientom całkowitą poufność.
Występują dwa typy serwerów MDS:
nym do zarządzania wieloma rozproszonymi punktami wymuszeń instalowanymi w sieciach, które mogą należeć
do różnych klientów, różnych firm czy
różnych oddziałów.
Jednym z elementów systemu Provider-1 są Customer Management Add-ons (CMA), będące wirtualnymi serwerami zarządzania poszczególnych
Klientów (Klient oznacza tutaj jednostkę reprezentującą osobną domenę
CMA pełni następujące funkcje:
•przechowuje i zarządza bazą
obiektów i polityką bezpieczeństwa
danego Klienta,
•kontroluje i monitoruje – w czasie
rzeczywistym – stan punktów, wymuszających politykę, należących do
danego Klienta,
•zbiera logi z modułów danego
Klienta, o ile logowanie nie jest
realizowane przez wyznaczony do
•MDS Container – przechowuje i zarządza modułami CMA,
•MDS Manager – odpowiada za
komunikację z administratorami
środowiska Provider-1 poprzez MultiDomain GUI (MDG).
Elementy te mogą być fizycznie instalowane na jednej wspólnej maszynie
lub w konfiguracji rozproszonej na kil-
Rys.1 Architektura systemu Provider-1
32
rozwiązania
ku. Istotne jest to, że w każdej instalacji
Provider-1 konieczny jest co najmniej
jeden MDS Manager oraz jeden MDS
Container.
Konsola zarządzająca Multi-Domain GUI (MDG), jest odpowiednikiem
standardowego interfejsu zarządzania
Check Point Management GUI, pozwalającego na zarządzanie poszczególnymi domenami w ramach systemów
Smart Center. W porównaniu do standardowego GUI, MDG posiada dodatkowe narzędzia, służące do obsługi
do zarządzania punktami wymuszeń,
będą dostępne w CMA zapasowym.
MDS Manager jest punktem komunikacji Provider-1 z administratorami,
może on zatem stać się również punktem awarii, dlatego istnieje możliwość
konfiguracji pary MDS Managerów,
synchronizujących między sobą dane,
tak aby w razie awarii podstawowej
jednostki, administratorzy mogli łączyć
się z zapasowym Managerem. Dodatkowo istnieje możliwość synchronizacji
elementów MDS Container.
Warto tutaj zauważyć, że polityki globalne mają ogromne
znaczenie, dlatego tylko administratorzy o szczególnych
uprawnieniach powinni mieć możliwość ich edycji.
poszczególnych CMA (dodawanie,
edycja) oraz do tworzenia globalnych
polityk bezpieczeństwa (Global Policy),
których reguły są wymuszane w wielu
indywidualnych politykach.
Opcjonalnym elementem systemu jest
Multi-Domain Log Module (MLM), będący serwerem przeznaczonym do kolekcjonowania logów. MLM powinien
być stosowany w sytuacjach, kiedy środowisko Provider-1 jest złożone z wielu CMA lub, gdy konieczne jest intensywne logowanie. Dzięki temu można
odciążyć serwery MDS, pozostawiając
w ich zadaniach tylko krytyczne działania administracyjne.
Administracja
Jak już zostało to wspomniane, administracja systemem Provider-1 odbywa
się poprzez interfejs MDG. Uprawnieni
administratorzy mogą z tego poziomu
dodawać lub modyfikować Klientów,
CMA, przeglądać i dodawać polityki,
które są przechowywane w serwerze
MDS. Tworzone polityki mogą być dwojakiego rodzaju - polityki lokalne tworzone i dostępne w ramach jednego
CMA lub polityki globalne obowiązujące w wielu CMA, wchodzących w skład
całego środowiska Provider-1. Takie
rozwiązanie eliminuje konieczność
tworzenia tych samych reguł osobno
dla różnych Klientów. Może przecież
zdarzyć się sytuacja, kiedy chcemy, aby
takie same reguły wchodziły w skład
polityk bezpieczeństwa kilku Klientów
- polityki globalne rozwiązują ten problem. Warto tutaj zauważyć, że polityki globalne mają ogromne znaczenie,
dlatego tylko administratorzy o szczególnych uprawnieniach powinni mieć
możliwość ich edycji. Między innymi
z tego względu w systemie Provider-1
zostały zdefiniowane następujące typy
administratorów:
•Provider-1 Superuser – posiada
uprawnienia do zarządzania całym
środowiskiem Provider-1 (edycja
MDS, zarządzanie innymi administratorami itd.).
•Customer Superuser – zarządza konfiguracjami wszystkich Klientów przy
użyciu MDG oraz SmartConsole. Zarządza administratorami o niższych
uprawnieniach (Customer Manager
oraz none administrator).
•Global Manager – zarządza konfiguracjami poszczególnych Klientów,
ma dostęp do konfiguracji polityk
globalnych, może dodawać administratorów typu Customer Manager,
none administrator.
•Customer Manager – zarządza konfiguracjami poszczególnych Klientów,
może dodawać administratorów
typu none dla swoich Klientów. Nie
może edytować globalnych polityk
czy obiektów.
•None administrator – administrato-
W celu zapewnienia wysokiej dostępności w system Provider-1 zostały wbudowane mechanizmy niezawodnościowe na poziomie CMA oraz serwerów
MDS.
Dla każdego Klienta istnieje możliwość
konfiguracji dwóch CMA, pracujących
w trybie wysokiej dostępności (jedno
aktywne, drugie zapasowe). Tak skonfigurowane CMA, regularnie lub poprzez
wywołanie zdarzenia, synchronizują
pomiędzy sobą ich bazy danych, zapewniając, że w razie awarii podstawowego CMA wszystkie dane potrzebne
Rys.2 Interfejs Multi Domain GUI
© SOLIDEX, 2008
33
rozwiązania
rzy spoza systemu Provider-1, mogą
zarządzać systemami zabezpieczeń
Klientów poprzez standardowe
narzędzia SmartConsole. Nie mają
dostępu do MDG.
Z interfejsu MDG uprawnieni administratorzy mogą uruchomić narzędzie Global
SmartDashboard, służące do tworzenia
polityk globalnych lub mogą również
uruchomić – służące do zarządzania
systemami każdego Klienta – konsole
SmartConsole, w skład której wchodzą
znane narzędzia, takie jak: SmartDashboard, SmartView Tracker, SmartUpdate, SmartView Monitor, Eventia Reporter,
SmartLSM. Konsole SmartConsole do
zarządzania zasobami poszczególnych
Klientów mogą być również uruchamiane poza środowiskiem Provider-1.
Podsumowanie
Provider-1 nie jest rozwiązaniem kierowanym do każdego odbiorcy. Nie
wynika to jednak z tego, że jest to rozwiązanie o niskiej jakości, lub z tego,
że inni producenci dostarczają lepsze
odpowiedniki. Nie. Należy podkreślić, że przedstawiony tutaj system
jest rozwiązaniem przodującym pod
względem oferowanych funkcjonalności i możliwości wdrożenia. Mała ilość
wdrożeń wynika z tego, że jest to narzędzie przeznaczone do specjalizowanych zastosowań w projektach o dużej
skali. Biorąc jednak pod uwagę ciągle
zwiększające się zapotrzebowanie firm
na usługi zarządzania czy usługi zabezpieczeń, oraz fakt, że coraz więcej
operatorów i centrów danych będzie w
stanie świadczyć takie usługi, z optymizmem możemy spojrzeć na przyszłość
wartościowego produktu jakim jest
Provider-1 firmy Check Point.
Więcej informacji na ten temat na
stronie: www.checkpoint.com
Witold Mazanek
Budujemy sprawną i bezpieczną
infrastrukturę teleinformatyczną
www.SOLIDEX.com.pl
34
rozwiązania
Dostarczanie i rozliczanie treści dla odbiorców mobilnych
W tym wydaniu „Integratora” przedstawiam kilka aspektów funkcjonowania „treści”, czy też „kontentu”,
zarówno obecnie jak i w perspektywie historycznej. Celem tego tekstu jest ukazanie, jaką społeczną rolę pełni
„treść-kontent” i jakie to ma implikacje na sferę technologiczną i biznesową.
Na początek należy stwierdzić, że z braku lepszego sformułowania używać będziemy słowa „kontent” (ang. content)
na oznaczenie treści przekazu.
był obarczony wieloma wadami. Należały do nich między innymi podatność
na zakłócenia i nietrwałość – każdy
Wynalezienie pisma w różnych postaciach wprowadziło tutaj pewien porządek, gdyż raz zapisane
informacje pozostawały
niezmienione przez dłuższy czas, tym bardziej że
często nośnikiem informacji był po prostu kamień.
Jednak i on miał poważne wady, z których warto szczególnie wymienić
trudności transportowe
– nie nadawał się on do
tego, by zapisaną na nim
informację przekazywać
na duże odległości.
Warto zadać sobie kilka
pytań, które ukierunkują
nasze dalsze rozważania.
Przede wszystkim po co
dostarczamy treść, po co
dokonujemy przekazu
treści? Po drugie jakiego
rodzaju treści dostarczamy? I w końcu jaką rolę
pełni przekazywany kontent (informacja)? W dalszej części tego artykułu
spróbujmy sobie na te
pytania w przybliżeniu
odpowiedzieć. Pomoże
nam to zastanowić się
nad biznesowym znaczeniem przekazu informacyjnego.
Sięgnijmy zatem w odległą przeszłość, aby spojrzeć na to, jak ludzie wymieniali się informacją
i jaką rolę ta informacja
pełniła w historii ludzkości.
Ludzkość od wieków dążyła do utrwalania myśli
i przekazywania jej innym ludziom, nie tylko
drogą przekazu ustnego.
We wspólnotach pierwotnych przekaz
ustny odgrywał największą rolę, ale –
jak doskonale zdajemy sobie sprawę –
zywali opowieść z ust do ust powodował, że coraz mniej miała ona wspólnego z oryginalną postacią.
bowiem, kto dokonywał ustnego przekazu, mógł go dowolnie modyfikować,
a rosnący łańcuch tych, którzy przeka-
Wynalezienie lekkich nośników informacji, takich
jak skóry zwierzęce i w końcu papier, spowodowało
prawdziwy przełom w przekazie informacji. Niektórzy
twierdzą, że sformułowanie „pełnia czasów”, które
odnajdujemy w listach św.
Pawła, odnosi się do tej rzeczywistości, w której chrześcijańska Ewangelia mogła
być przekazywana w łatwy
i tani sposób właśnie dzięki
temu, że istniał tani i lekki
nośnik informacji. Wiemy
dobrze, że Chrześcijaństwo było jednym z największych przełomów w dotychczasowej historii ludzkości.
© SOLIDEX, 2008
35
rozwiązania
Idąc dalej w historii napotykamy na
moment, kiedy oprócz taniego i lekkiego nośnika usprawnieniu ulega proces
reprodukcji przekazu. Dotychczasowy,
żmudny proces przepisywania i iluminacji tekstu został zastąpiony przez
wynalazek druku przypisywany Gutenbergowi. Co ciekawe, to również doprowadziło do kolejnego przełomu związanego z Chrześcijaństwem. Drukowane
książki, a w szczególności Biblia, trafiły
„pod strzechy”, dając możliwość zapoznania się z tekstem tym, których dotychczas nie było stać na przepisywane
ręcznie księgi. To również oznaczało, że
teksty te trafiły do ludzi, którzy w pewnym stopniu oderwani byli od tradycji
interpretacji tekstu, co dało początek
Protestantyzmowi.
Zwiększanie się popularności druku
doprowadziło do powstania nośników
szybkiej informacji – prasy codziennej.
Nastąpiła kolejna rewolucja w dziedzinie przekazu informacji. W końcu
media elektroniczne – radio, telewizja,
satelity, telefony komórkowe, Internet
– sprawiły, że współczesny człowiek
może uczestniczyć w przekazie informacji, praktycznie w dowolnym miejscu na kuli ziemskiej – może przyprawiać o zawrót głowy.
Jednak zauważmy, że w całej historii
przekazu informacji, media (przyjmijmy, że tak nazwiemy tutaj sam przekaz)
oraz ich treść funkcjonują w kontekście
rozwoju cywilizacyjnego. Niezależnie
od czasu, ale w ramach przezeń wyznaczanych pełnią role: wymiany myśli
(informacji), edukacji, rozrywki oraz artystyczną.
Co więcej dystrybucja treści (informacji, kontentu) oraz jej forma zależne
są od postępu technologicznego, są
odpowiedzią na zapotrzebowanie cywilizacyjne oraz – i tu zwróćmy uwagę
– kształtują cywilizację. W tym należy
również uwzględnić zachowania społeczne. Wystarczy spojrzeć na to, w jaki
sposób zmienia się ludzkość, między
innymi, w związku ze zwiększeniem
szybkości i powszechności wymiany
informacji. Oczywiście nie należy traktować wymiany informacji jako jedynego motoru postępu, ale w ramach tego
postępu jest ona jednym z najistotniejszych składników zmian.
Po co wymieniamy się informacją? Jest
to jedna z naszych podstawowych potrzeb. Potrzebujemy wymieniać się informacją, dokonywać ekspresji własnej
osobowości, potrzebujemy tej wymiany w celach poznawczych. Jesteśmy
„producentami” i zarazem „konsumentami” informacji. Dzięki temu tworzymy „wspólnoty”, znajdujemy akceptację dla samych siebie.
Kontent jest produktem, który z jednej
strony jest odpowiedzią na zapotrzebowanie rynku - jak to produkt - a z
Jako produkt kontent wymaga sprzyjającego
środowiska.
Oczywiście
w pierwszym rzędzie liczy się jakość
samego kontentu. To jest naturalnie
pierwszy czynnik. Istotną rolę odgrywa także relacja pomiędzy kontentem
a jego ceną. Mówimy tutaj o mikropłatnościach, choć może aktualnie przedrostek „mikro” jest jeszcze stosowany
trochę na wyrost. Faktem jest, że nowy
dzwonek do telefonu kosztuje mniej
niż dobra kawa w przyjemnym lokalu.
Kontent, jako produkt, sam potrzebuje informacji, budowania świadomości
– innymi słowy promocji. Potencjalni
odbiorcy muszą się dowiedzieć, że istnieje, że jest na sprzedaż i w jaki sposób
po niego sięgnąć. Z tym z kolei wiąże
się łatwość i wygoda dokonywania
zakupów. Jednym z efektów szybkiej
W końcu media elektroniczne – radio, telewizja, satelity,
telefony komórkowe, Internet – sprawiły, że współczesny
człowiek może uczestniczyć w przekazie informacji,
praktycznie w dowolnym miejscu na kuli ziemskiej –
w sposób, który może przyprawiać o zawrót głowy.
drugiej w dużym stopniu ten rynek stymuluje i wpływa na niego w pośredni
sposób. Sama treść i rola jaką pełni
w dzisiejszym społeczeństwie sprawia,
że zachodzą zmiany w sposobie korzystania z kontentu. Dzisiaj, na przykład,
kontent powinien być dostępny niezależnie od czasu i miejsca, a za tę swobodę wyboru gotowi jesteśmy płacić.
Wróćmy zatem do tematu artykułu
i przyjrzyjmy się temu, co sprzedaje się
obecnie na urządzenia mobilne. Są to:
tapety i loga, dzwonki (polifoniczne
i mp3), motywy, krótkie filmy wideo itp.
Zauważmy, że charakter tego kontentu
jest uzależniony od ograniczeń medium
- urządzenia mobilnego. Pamiętajmy, że
większość tych urządzeń posiada dość
słabe parametry jakości dźwięku, mały
ekran, ograniczenie mocy obliczeniowej
oraz źródło zasilania, które nie pozwala
na zbyt długą, ciągłą eksploatację.
wymiany informacji jest to, że ogólnie
przyspieszyliśmy i nie będziemy tracić
czasu na pozyskanie dobra, którego kanał sprzedaży sprawia nam problemy.
Bardzo istotnym składnikiem sprzyjającego środowiska sprzedaży kontentu
jest stymulacja społeczna – efekt naszej
społecznej natury, wspólnoty zainteresowań, a czasem poczucia humoru.
Budowanie świadomości kontentu –
marketing – najprościej prowadzony
może być w miejscach sprzedaży abonamentu na medium. Jednak tak prowadzona promocja dociera głównie do
potencjalnie nowych abonentów. Dla
tych, którzy abonament już posiadają,
konieczne są zwykłe kampanie reklamowe za pośrednictwem różnych mediów – obserwujemy to na co dzień.
Jednak bardzo szczególnym typem
promocji jest promocja typu peer-topeer. Działa ona w społecznościach
36
rozwiązania
i bazuje na wspólnocie zaufania, zainteresowań, przekonań itp. Czasem jest
to wspólne poczucie humoru. Ciekawą
własnością promocji peer-to-peer jest
to, że w wielu wypadkach ma efekt wykładniczy.
Gdy patrzymy na sposób sprzedaży
kontentu (i nie tylko), możemy wyróżnić dwa skrajne podejścia. Pierwsze
nazwijmy „automatem z napojami”.
Charakteryzuje się ono tym, że całość
oferty prezentowana jest w jasny i czytelny sposób, umożliwiający ogarnięcie
jej jednym rzutem oka. Jest to typowy
wygląd automatów z napojami albo
batonikami, w którym wszystkie produkty, w obfitości eksponowane są
za szybą i dostępne „na wyciągnięcie
ręki”. Nasze działanie sprowadza się do
szybkiego wskazania interesującego
nas produktu, dokonanie zapłaty i na-
Kolejne rewolucje szykują nam się ze względu na
urządzenia mobilne, z których korzystamy albo będziemy
korzystać. Dobrym przykładem jest tutaj iPhone firmy
Apple, który całkowicie zmienia sposób prezentacji
i korzystania z urządzenia mobilnego w stosunku do tego,
co znaliśmy do tej pory.
tychmiastowe dostarczenie produktu.
„Łomot”, który występuje, gdy nasza
wybrana puszka napoju trafia do pojemnika, jest niejako potwierdzeniem
dokonania zakupu.
Inne podejście do sprzedaży związane
jest z ekspozycją większej liczby produktów. Jest to doświadczenie „sklepowe”, w którym mamy do czynienia
z atrakcyjną prezentacją, możliwością wypróbowania
dobra
(kontentu), pewnym stopniem
personalizacji
oraz odsuniętą
w czasie decyzją
o zakupie. Może
być tak, że do
„sklepu” wracamy wielokrotnie
upewniając się,
że interesujący
nas produkt jest
taki, jak tego
oczekujemy.
Jeśli spojrzymy
na to z punktu
widzenia
nowych kanałów
sprzedaży,
takich jak Internet
i urządzenia mobilne to widzimy,
że prezentacja
internetowa (realizowana za pomocą komputera) daje większe
możliwości prezentacyjne i bardziej „sklepowe”
środowisko sprzedaży. Mamy do dyspozycji większy ekran, większe możliwości nawigacji i prezentacji. Z kolei
urządzenia mobilne, poprzez narzucane ograniczenia, bardziej funkcjonują
jak „automaty z napojami”. Niewielki
ekran i mała klawiatura, a także dość
długi czas przesyłania informacji sprawiają, że jedynym sprawnym modelem
jest „point-and-click” - zakup dokonywany jest zwykle z pełną świadomością
tego, co dany produkt sobą reprezentuje i odbiorca dobrze wie, czego oczekiwać. Po prostu sięga po „batonik”.
Aby ten model zakupów funkcjonował,
potrzebne jest coś, co nazywa się po angielsku „purchase experience”. Składają
się na nie trzy elementy: forma, wygoda i techniczna łatwość. Pamiętajmy,
że mówimy o „automacie z napojami”.
Atrakcyjność i adekwatność formy jest
tutaj oczywistym czynnikiem kształtującym „wrażenie”. Jednak o sukcesie
będzie również decydować łatwość
poruszania się po „sklepie”, docierania
do interesującego nas kontentu, a także – i tu nie należy niedoceniać tego
aspektu – techniczna łatwość zakupu.
Interesującą koncepcją jest próba tworzenia w ramach interfejsu urządzeń
mobilnych spersonalizowanej przestrzeni, komunikacji na zasadzie chatu
(duża popularność tej formy porozumiewania się została już potwierdzona), dzielenia się z innymi własnymi
zasobami (np. zdjęcia) oraz dokonywania zakupów. Coś takiego nosi nazwę
„social media” i wkracza w nasze życie
w coraz większym stopniu, być może
w mniejszym stopniu na urządzeniach
mobilnych, ale trend ten wydaje się
nieuchronny.
© SOLIDEX, 2008
37
rozwiązania
Odnosząc się do społecznościowego
wymiaru kontentu, można stwierdzić,
że takie elementy, jak: mechanizmy
tworzenia społeczności (blog, chat,
przestrzeń autoprezentacji), reklama,
kontent, personalizacja, mechanizmy
mikropłatności (Pay-Per-View, Pay-PerUsage) stanowią sprzyjające środowisko generowania sprzedaży.
Zauważmy, że możliwość interakcji
zaciera granice pomiędzy producentem a odbiorcą. Ta sama osoba może
funkcjonować obecnie zarówno jako
odbiorca i producent. Ponadto funkcjonuje silne i szybkie sprzężenie – oddolna demokracja kształtująca ofertę
kontentową. Funkcjonuje wreszcie coś,
co nazywane jest „peer-production”,
o którym mówimy, gdy społeczności
producentów-konsumentów („prosumers”) tworzą wspólnie dobra lub usługi. Jest to swego rodzaju rewolucja,
która otrzymała swoją szumną nazwę
Web 2.0. Jest to rewolucja w filozofii
korzystania z mediów elektronicznych,
która w krótkim czasie obejmie wiele
sfer życia, głównie poprzez postępującą ich konwergencję.
Kolejne rewolucje szykują nam się ze
względu na urządzenia mobilne, z których korzystamy albo będziemy korzystać. Dobrym przykładem jest tutaj
iPhone firmy Apple, który całkowicie
zmienia sposób prezentacji i korzystania z urządzenia mobilnego w stosunku do tego, co znaliśmy do tej pory.
SOLIDEX SA jest firmą technologiczną, która od długiego czasu dostarcza
rozwiązania, wspierające dostarczanie
i rozliczanie treści, także dla użytkowników mobilnych. Są to specjalizowane
rozwiązania, które od strony operatorskiej umożliwiają świadczenie usług
dostępowych oraz kontentowych
z pełnym wsparciem dla procesu kontroli pasma, kontroli dostępu do treści
oraz rozliczania za wykorzystane zaso-
by lub kontent. Rozwiązania te oparte
są o ofertę partnerów technologicznych, takich jak Cisco czy Sun Microsystems, ale także zbudowane są w oparciu o własne oprogramowanie firmy
SOLIDEX. Poprzez dostarczanie takich
rozwiązań SOLIDEX potwierdza ścieżkę innowacyjności i technologicznego
rozwoju, zorientowanego na potrzeby
biznesowe klientów.
Grzegorz Cempla
Dyrektor ds.
Rozwoju i Nowych
Produktów
Interesuje Cię następująca tematyka ?
• Nowoczesne systemy zintegrowanej
komunikacji jako element budowy przewagi
konkurencyjnej
• Integracja bez tajemnic
• Bezpieczeństwo w Centrach Przetwarzania
Danych
Zapisz się na bezpłatne seminarium!
www.SOLIDEX.com.pl
38
Program SOLIDEX
Autoryzowane szkolenia Cisco Systems
(także w nowym Centrum Kompetencyjno-Szkoleniowym)
ICND 1
Interconnecting Cisco Networks Devices Part 1
ICND 2
Interconnecting Cisco Networks Devices Part 2
BSCI
BCMSN
ISCW
Building Scalable Cisco Internetwork
Building Cisco Multilayer Switched Networks
Implementing Secure Converged Wide Area Networks
BGP
Configuring BGP on Cisco routers
ONT
Optimizing Converged Cisco Networks
SND
Securing Cisco Network Devices
SNPA
Securing Networks with PIX and ASA
SNRS
Securing Networks with Cisco Routers and Switches
CSVPN
Cisco Secure Virtual Private Network
CIPT P1 v6.0
Implementing Cisco Unified Call Manager Part 1
CIPT P2 v6.0
Implementing Cisco Unified Call Manager Part 2
CWLMS
QoS
MPLS
Implementing CiscoWorks LMS
Implementing Cisco Quality of Service
Implementing Cisco MPLS
Infolinia: 0800 49 55 82
Więcej informacji można uzyskać w serwisie www.SOLIDEX.com.pl, www.cks.SOLIDEX.com.pl
oraz via e-mail: [email protected]
Szkolenia prowadzone są w centrali oraz warszawskim oddziale SOLIDEX:
Kraków Centrala SOLIDEX, ul. Lea 124;
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX,
Złote Tarasy - Lumen, ul. Złota 59
Autoryzowane szkolenia Cisco Systems w ofercie SOLIDEX
Naszą misją jest pomóc w efektywnym rozwoju Państwa organizacji, poprzez przygotowanie najwyższej
klasy specjalistów rozumiejących i sprawnie poruszających się po świecie zaawansowanych technologii
teleinformatycznych.
Od 1998 roku prowadzimy autoryzowane szkolenia Cisco Systems.
Zajęcia odbywają się w nowoczesnych laboratoriach technicznych w:
• Centrum Kompetencyjno-Szkoleniowym w Warszawie
• Centrali Firmy w Krakowie
Wszelkie informacje dotyczące warunków uczestnictwa uzyskają Państwo kontaktując się poprzez e-mail
[email protected] lub bezpłatny telefon naszej infolinii 0-800 49 55 82 (lub 0-12 638 05 00)
w godzinach od 9:00 do 17:00.
SOLIDEX SA Centrala: ul. J. Lea 124, 30-133 Kraków, tel.: +48 (12) 638 04 80, fax: +48 (12) 638 04 70, www.SOLIDEX.com.pl
SOLIDEX SA Oddział Warszawa Centrum Kompetencyjno-Szkoleniowe: Złote Tarasy – Lumen (IV poziom),
ul. Złota 59, 00-120 Warszawa, tel.: +48 (22) 222 34 00, fax: +48 (22) 222 34 05, www.cks.SOLIDEX.com.pl

Provider-1 wielodomenowy system zarządzania bezpieczeństwem

Transkrypt

Podobne dokumenty

cisco.netacad.net

Przegląd rozwiązań mobilnych w świecie UC

Integrator Nr II/2011 (115)

jako efektywne oraz skuteczne narzędzie do pracy

W numerze między innymi:

Ochrona danych w urządzeniach mobilnych i nie tylko

Inteligentne usługi w sieciach bezprzewodowych

Szkolenia

Integrator Nr I/2012 (118)