Integrator Nr III/2013 (124)
Transkrypt
Integrator Nr III/2013 (124)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Wiedza porządek w bezpieczeństwie Nr III/2013 (124) W numerze między innymi: WYDARZENIA: Cykl warsztatów Cisco ISE w SOLIDEX NOWOŚCI: czytaj na str. 20 Nowe platformy firmy Infoblox dla rozwiązań z rodziny „Network Automation” TECHNOLOGIE: Websense Triton Enterprise - kompletny system bezpieczeństwa dla przedsiębiorstw ROZWIĄZANIA: Współczesne ataki DDoS oraz metody zapobiegania ich skutkom ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner J-Partner Elite Check Point Platinum Partner Check Point Collaborative Certified Support Provider Elite Partner Gold Partner Websense Platinum Partner Numer: III/2013 (124) Szanowni Państwo, Ponad dwie dekady praktycznego doświadczenia SOLIDnych EXpertów w zakresie projektowania, wdrażania i utrzymywania systemów sieciowych dowolnej skali i złożoności to istna kopalnia wiedzy. Wiedzą tą chcemy się dzielić z naszymi Klientami, Partnerami i Czytelnikami. Kolejny numer naszego biuletynu firmowego INTEGRATOR prezentuje nowości ze świata komunikacji (iRobot Ava 500 – „Z kamerą wśród biurowców”) – str. 6, a także rozwiązań zarządzania „Nowe platformy firmy Infoblox” na stronie 9. Szczególnie zachęcamy do przeczytania kolejnego artykułu z wiosennej akcji „Porządki w Sieci 2013 ”. Porusza on ważną tematykę bezpieczeństwa współczesnych sieci informatycznych „Wiedza – porządek w bezpieczeństwie” na stronie 20). Inne artykuły dotyczące bezpieczeństwa przewijają się zarówno w dziale Technologie („Websense Triton Enterprise - kompletny system bezpieczeństwa dla przedsiębiorstw” na stronie 12) oraz w dziale Rozwiązania „Współczesne ataki DDoS oraz metody zapobiegania ich skutkom” na stronie 38. Pozostałe artykuły to opis technologii i rozwiązań firm VMware („VMware Horizon View – środowisko wirtualnych desktopów” na stronie 16), Infoblox („Efektywniej, taniej, łatwiej … INFOBLOX” na stronie 26), Cisco („Cisco Unified Computing System UCS - jak to działa ?” na stronie 32 , „Catalyst 3850 – nowa seria przełączników dostępowych Cisco” na stronie 42). INTEGRATOR jako niezależny kwartalnik od połowy lat dziewięćdziesiątych redagowany jest przez Zespół SOLIDEX, trafia do grupy kilku tysięcy profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem www.integrator.SOLIDEX.com.pl. Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 4 4 5 Cykl warsztatów Cisco ISE w SOLIDEX SOLIDEX modernizuje infrastrukturę sieciową Komendy Głównej Policji Współpraca SOLIDEXu z uczelniami publicznymi SOLIDEX podpisał umowy na realizację szkoleń autoryzowanych Cisco dla Ministerstwa Obrony Narodowej SOLIDEX odnowił partnerstwo Microsoft Gold Odnowienie specjalizacji Cisco ATP ISE przez SOLIDEX 5 5 NOWOŚCI 6 9 iRobot Ava 500„Z kamerą wśród biurowców” Nowe platformy firmy Infoblox dla rozwiązań z rodziny „Network Automation” TECHNOLOGIE 12 16 Websense Triton Enterprise – kompletny system bezpieczeństwa dla przedsiębiorstw VMware Horizon View – środowisko wirtualnych desktopów ROZWIĄZANIA 20 26 32 38 42 Wiedza – porządek w bezpieczeństwie Efektywniej, taniej, łatwiej … INFOBLOX Cisco Unified Computing System UCS – jak to działa? Współczesne ataki DDoS oraz metody zapobiegania ich skutkom. Catalyst 3850 – nowa seria przełączników dostępowych Cisco Biuletyn Informacyjny SOLIDEX® WYDARZENIA Cykl warsztatów Cisco ISE w SOLIDEX Na przełomie maja i czerwca SOLIDEX przeprowadził cykl praktycznych warsztatów kontroli dostępu do sieci z wykorzystaniem Cisco Identity Services Engine (ISE). Dwudniowe zajęcia prowadzone przez inżynierów SOLIDEX obejmowały zarówno część teoretyczną (szczegółowa charakterystyka Cisco ISE, omówienie licencjonowania, modele wdrożeniowe) oraz część praktyczną. W ramach warsztatów uczestnicy mieli możliwość praktycznego przetestowania rozwiązania dzięki serii ćwiczeń obejmujących m.in. podstawową konfigurację ISE (IP, DNS, NTP, Certyfikaty), pracę z lokalnymi bazami użytkowników i urządzeń końcowych, integrację ISE z Active Directory, konfigurację środowiska przewodowego do współpracy z ISE, profilowanie urządzeń końcowych, definiowanie polityki dostępowej o różne rodzaje autentykacji, uruchomienie i zarządzanie dostępem gościnnym oraz konfigurację usług Network Admission Control (NAC). War sz t aty był y prowadzone w Centrach Kompetencyjno – Szkoleniowch SOL IDE X w K rakowie, Warszawie i Gdańsku. SOLIDEX modernizuje infrastrukturę sieciową Komendy Głównej Policji SOLIDE X przedstawił najkorzystniejszą ofertę w przetargu publicznym ogłoszonym przez Komendę Główną Policji. W ramach umowy zawartej w lipcu 2013r. z KGP, SOL IDE X zapewni wsparcie developerskie w zakresie modernizacji infrastruktury sieciowej KSI. Przedmiotem umowy jest przygotowanie koncepcji oraz założeń do konfiguracji urządzeń sieciowych w celu zapewnienia współpracy systemu KSI zainstalowanego w dwóch centrach przetwarzania danych. Współpraca SOLIDEXu z uczelniami publicznymi Rozbudowa Uc zelnianej Sie c i Komputerowej AGH w Krakowie SOLIDEX w lipcu zawarł umowę z A kademią Gór nic zo -Hutnic z ą w Krakowie w sprawie dostawy urządzeń sieciowych do Uczelnianej Sieci Komputerowej dla Centrum Informatyki AGH. 4 Centrum Nowoczesnych Technologii Informatycznych na Uniwersytecie Ekonomicznym w Katowicach W sierpniu SOLIDEX podpisał umowę z Uniwersytetem Ekonomicznym w Katowicach na dostawę sprzętu sieciowego dla potrzeb Centrum Nowoczesnych Technologii Informatycznych. Dostawa ma zapewnić zbudowanie szkieletu sieci i umożliwić dostęp do sieci bezprzewodowej w budynku CNTI. Integrujemy przyszłość® Dost awa urządzeń siec iowych na Uniwer sytec ie Ślą skim w Katowicach W ramach umowy zawartej z Uniwersytetem Śląskim w K atowicach w sierpniu, SOLIDE X dostarc zy produkty sieciowe firm Cisco i Juniper. Firewalle SRX1400, router 3945E/K9 oraz switch modułowy WS-C6503-E i switche WS-C3850-48T-S zastąpią urządzenia dotychczas eksploatowane. Numer: III/2013 (124) SOLIDEX podpisał umowy na realizację szkoleń autoryzowanych Cisco dla Ministerstwa Obrony Narodowej S OL IDE X ja k o A u t or yz owa ny Partner szkoleniowy Cisco Systems (Cisco Learning Specialized Partner) podpisał umowy z Ministerstwem Obrony Narodowej na przeprowadzenie szkoleń i egzaminów autoryzowanych przez firmę Cisco Systems. Realizacja dotyczyć będzie między innymi szkoleń przygotowujących do podstawowej certyfikacji Cisco Certified Network Associate (CCNA) wraz z egzaminami. SOLIDEX przeprowadzi także szereg na si najbar d z iej do ś wiadc zeni szkoleń omawiających technologię i certyfikowani instruktorzy Cisco C isc o Unif ied C ommunic t at ios – wszyscy posiadają tytuł Cisco (CVOICE, CIPT 1, CIPT 2), jak również Certified Internetwork Expert (CCIE), kursów dotyczących bezpieczeństwa mają za sobą ponad 3000 godzin w sieci (SECURE, FIREWALL, VPN, na sali szkoleniowej a także wieloIPS). Tematem szkoleń będą także letnie doświadczenie jako projekzagadnienia Quality of Service i BGP tanci i konsultanci. (QOS, BGP). Szkolenia realizowane b ę dą w naszych ośrodkach w Krakowie i Warszawie a prowadzącymi będą SOLIDEX odnowił partnerstwo Microsoft Gold W lipc u SOL IDE X odnowił par tner stwo z fir mą Mic rosof t na poziomie Gold w zakresie technologii Communications. Tytuł t en jest potwierdzeniem najwyższych kompetencji inżynierów SOLIDEX oraz gwarancją dla klienta, jakości oferowanych usług. Technologia Communications oferuje klientom zintegrowane rozwiązanie s ł u ż ą c e wspó ł pr ac y i komuni kacji biznesowej. Dostępnych jest kilka kanałów komunikacyjnych – wideo, głos, chat, a także integracja ze środowiskiem pracy grupowej – Exchange, SharePoint. Całość znana jest pod nazwą Microsoft Lync i jest dostępna zarówno jako systemy wewnątrz sieci (on-premise), jak i z chmury. Odnowienie specjalizacji Cisco ATP ISE przez SOLIDEX W czerwcu SOLIDEX odnowił specjalizację Cisco Authorized Technology Provider Identity Services Engine (ATP ISE). Wią zało się to ze spe ł nieniem wymagań w zakresie sprzętowym oraz z potwierdzeniem kwalifikacji SOLIDnych EXpertów w zakresie sprzedaży oraz instalacji produktów, a także obsługi Klienta. Uzyskany status Identity Services Engine to dowód nieustannej dbałości fir my SOL IDE X o podnoszenie kompetencji swoich pracowników, co przekłada się na coraz wyższą jakość oferowanych usług. C isco Identity Ser vices Engine to moduł do scentralizowanej obsługi reguł na potrzeby rozwiązania Cisco TrustSec®, który pozwala firmom efektywnie definiować reguły bezpieczeństwa oraz zarządzać nimi. Więcej Biuletyn Informacyjny SOLIDEX® informacji na stronie producenta: h t t p : // www . c is c o . c o m /e n / U S / products/ps11640/index.html oraz w numerze I/2012 Integratora, dostępnym na stronie: http://www.integrator.solidex.com.pl/ integrator/wydania-2012/nr-i-2012-118. 5 NOWOŚCI iRobot Ava 500 „Z kamerą wśród biurowców” Jeżeli kiedykolwiek ktoś zadawał sobie pytanie, co może powstać z połączenia zaawansowanej robotyki i profesjonalnego systemu wideokonferencyjnego, to po przeczytaniu poniższego tekstu, będzie mógł sobie na nie odpowiedzieć – przynajmniej częściowo. Firma iRobot – znana w Polsce głównie z małych, domowych robotów użytkowych – we współpracy z Cisco stworzyła robota do mobilnej wideokonferencji. Firma iRobot nie jest szczególnie popularna w naszym kraju ze względu Rys. 1. 6 na fakt, że rynek robotyki użytkowej tak naprawdę dopiero raczkuje i minie Ruchomy wysięgnik pozwala na dostosowanie wysokości monitora do wzrostu czy postawy rozmówcy Integrujemy przyszłość® jeszcze sporo czasu zanim się rozwinie. Mimo to ma jednak coraz więcej do zaoferowania, czego najlepszym przykładem jest właśnie Ava 500. Nie jest to jedyna taka konstrukcja na świecie, proponuje jednak znacznie więcej niż konkurencyjne rozwiązania i możemy śmiało stwierdzić, że wyznacza nowe standardy. Założeniem projektu jest możliwość odbycia wideokonferencji w jakości HD, w dowolnym miejscu w biurze, nie ograniczając się do jednego pomieszczenia, a także zapewnienie uczestnikom wideokonferencji większej swobody przemieszczania się. Dotyczy to zarówno konwersacji planowanych, jak i już rozpoczętych. Dodatkowo Ava 5 0 0 z wię k sz a moż liwo ś c i interakcji rozmówców między sobą. Robot składa się z jeżdżącego korpusu, ze zintegrowanym systemem czujników i napędów oraz zestawu Cisco Telepresence umieszczonego na szczycie Numer: III/2013 (124) Rys. 2. Maszyna w czasie spoczynku jest ładowana poprzez specjalną stację dokującą tegoż korpusu, na ruchomym wysię- miejsce nie wymaga ciągłej ingerencji wybierając najkrótszą, ale i najbezgniku, co pozwala na dostosowanie użytkownika, chyba że sam zainte- piec zniejszą dla maszyny drogę wysokości monitora do wzrostu czy resowany zadecyduje inaczej. Nie do celu. Oczywiście robot podczas postawy rozmówcy (rysunek 1). musimy też znać rozkładu pomieszczeń ruchu „uczy się” rozkładu pomieszczeń Maszyna w czasie spoczynku jest „odwiedzanej” lokalizacji, wystarczy, samodzielnie i aktualizuje na bieżąco ładowana poprzez specjalną stację że znamy nazwę miejsca spotkania. posiadaną bazę danych. Ponadto dokującą, umieszczoną w odpowiednio Wyszukujemy je wówczas na mapie jeżeli podczas poruszania się, wykryje przygotowanym do tego miejscu we wspomnianej aplikacji, a najbliższy na swojej drodze np. grupę rozma(rysunek 2). dos t ę pny r obot s am udaje się wiających osób, zaimplementowany Całości dopełnia zgrabne algor ytm natychmiast „opakowanie” i design, przeliczy trasę tak, aby który może się podobać ludzi ominąć, nie przeszka(rysunek 3). dz ając w konwer s ac ji. Jak sugeruje producent, Ponadto dzięki wbudodzięki robotowi będziemy wanemu w oprogramow stanie odbyć wirtualną wanie harmonogramowi wizytę np. w fabryce lub zadań i systemowi biu r z e p o t e n c ja lne go rezer wac ji możemy par tnera biznesowego, odpowiednio wcześniej klienta, czy po prostu zrobić zaprogramować robota, wizytację w odległ ym aby udał się w ustalonym oddziale własnej firmy. terminie do odpowiedG ł ówn ą c e c h ą , k t ór a niego pomieszc zenia odróżnia Ava 500 od innych Rys. 3. Ava 500 jest nie tylko funkcjonalny, ale posiada również na umówione spotkanie. konstrukcji tego typu, jest C o wię cej system jest ciekawy design autorski, autonomiczny t ak skonf ig ur owany, system nawigacji oraz ż e p o k a ż dym z a ko ń przyjazne i proste w obsłudze oprogra- we wskazane miejsce. Najbliższy czonym spotkaniu robot sam skieruje mowanie, zaprezentowane w wersji dost ępny, poniewa ż producent się do stacji dokującej w celu doładona popularnego iPad’a (rysunek 4). zakłada zainstalowanie kilku takich wania akumulatorów. Pozwala ono na pe ł ną kontrolę maszyn w jednej lokalizacji. Zaprogra- Wiadomo na pewno, że komuninad robotem, dzięki czemu jego mowane i regularnie aktualizowane kacja z Ava 500 będzie odbywała przemieszczanie się w poż ądane mapy pozwalają udać się na miejsce się przy pomocy technologii WiFi, Biuletyn Informacyjny SOLIDEX® 7 NOWOŚCI Rys 4. Główną cechą, która odróżnia Ava 500 od innych konstrukcji, jest autorski, autonomiczny system nawigacji oraz przyjazne i proste w obsłudze oprogramowanie poprzez wbudowany Access Point serii Aironet 1600, a za część audio wizualną odpowiedzialny będzie zestaw Cisco Telepresence serii EX. Całość będzie kompatybilna z innymi rozwiązaniami infrastruktury Cisco Unified Communications i pozwoli na odpowiednio zabezpiec zoną komunikację z siecią klienta, jak na segment Enterprise przystało. Nie wiadomo natomiast jeszcze nic o podstawowych parametrach samego robota, chociażby takich jak czas pracy na bateriach czy prędkości przemieszczania. Można założyć, że producenci nie chcą podawać konkretnych danych, dopóki nie ukaże się gotowy, komercyjny produkt, zaznaczmy bowiem, że nadal trwają testy. Z apewne prezentowane rozwią zanie nie będzie pozbawione wad, rozważmy chociażby powierzchnię, po której będzie mógł poruszać się robot – na jego trasie nie może być żadnych schodów ani progów. Być może wdrożenie Ava 500 będzie wymagało „dopasowania” do niego infrastruktury budynku, jednak nie powinno to stanowić problemu w kontekście coraz popularniejszych inteligentnych budynków. 8 Pomimo, że Robot do wideokonferencji nie jest sprzętem typowo sieciowym, to jest na tyle nowatorskim, ciekawym i nowoc ze snym r oz wią z aniem, że postanowiliśmy je zaprezentować. Urządzenie ma trafić do sprzedaży na początku 2014 roku, w Polsce zapewne w późniejszym terminie – nie są niestety znane żadne dodatkowe szczegóły. Więcej informacji na temat Ava 500, wraz z filmem prezentującym jego możliwości, znaleźć można na anglojęzycznych stronach Cisco oraz iRobot. Opracowano na podstawie oficjalnych materiałów producentów. T.K. Inżynier SOLIDEX Integrujemy przyszłość® Numer: III/2013 (124) Nowe platformy firmy Infoblox dla rozwiązań z rodziny „Network Automation” W związku z udostępnieniem nowych funkcjonalności oraz rozwojem technologicznym podzespołów sprzętowych, firma Infoblox wprowadziła nowe platformy fizyczne. W ofercie dostępne są trzy nowe modele serii NT (NT-1400, NT-2200, NT-4000) dedykowane dla rodziny produktów związanych z automatyzacją zarządzania i monitoringu infrastruktury sieciowej. Nowa seria NT została specjalnie zaprojektowana, aby dostarczyć wydajnych zasobów fizycznych dla rozwiązań z rodziny „NET WORK AU T OM AT ION ” m . in . Swit ch Port Manager, Automation Change Manager, NetMRI® czy Security Device Controller. Dzięki dedykowanemu roz wią z aniu moż liwe jest optymalne wykor z yst anie sprzętu przez zainstalowane na nim produkty. Dodatkowo dostępny jest zunifikowany interfejs zarządzania, co znacznie ułatwia procesy administracyjne i zmniejsza koszty oraz ilość czasu potrzebną na przyswojenie wiedzy na temat obsługi. Urządzenia zostały zbudowane do świadczenia konkretnych usług sieciowych powiązanych z monitoringiem i automatyzacją zadań sieciowych, są pozbawione dodatkowych interfejsów fizycznych do podłączania urządzeń peryferyjnych takich jak monitory, myszy, klawiatury. Spełniają rygorystyczne wymogi bezpieczeństwa stawiane przez instytucje zarówno rządowe, jak i sektor prywatny. Cała administracja odbywa się poprzez graficzny interfejs w postaci strony www lub poprzez terminal podłączony bezpośrednio do urządzenia portem konsolowym albo pośrednio poprzez sieć, przy wykorzystaniu protokołu ssh. Rodzina NT została zróżnicowana pod względem wydajności, aby umożliwić elastyczne dopasowanie produktu do środowiska sieciowego, w którym ma on pracować. Poszczególne modele różnią się budową oraz podzespołami, ale sposób administracji Rys. 1. c zy wykonywanie codziennych zadań pozostają takie same. Obecnie dostępne są trzy modele NT-1400, N T-2 2 0 0, N T- 4 0 0 0, wsz yst k ie przeznaczone do montażu w szafach Rack 19’’oraz posiadające certyfikaty bezpieczeństwa: FCC, CE, TUV, CB, VCCI, C-Tick, KCC, CCC, NOM. NT-1400 „ Najmniejs z y ” c z łonek r od z iny stworzony został przede wszystkim z myślą o małych środowiskach sieciowych, ale przy implementacji rozwiązania rozproszonego dla Network Automation NT-1400 Appliance Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI Rys. 2. Panel frontowy NT-1400 Rys. 3. Widok na tył NT-1400 większych sieci z wieloma lokalizacjami funkcjonuje jako „Collector”. NT-1400 posiada port konsolowy DB-9 (9600/8n1, Xon/Xoff), cztery interfejsy sieciowe 10/100/1000 Base-T Ethernet oraz jeden interfejs IPMI 10/100/1000 Base-T Ethernet, przy czym por ty oznaczone jako IPMI, LAN2 oraz HA nie są aktywne i zostały zarezerwowane do przyszłego wykorzystania, podobnie jak port USB w standardzie 2.0/1.1. Dysk o pojemności 500 GB zamontowany jest z tyłu urządzenia, co pozwala na jego łatwą wymianę/usunięcie bez konieczności demontażu obudowy. Platforma może być wyposażona w jeden zasilacz AC (moc na wyjściu 360W) lub DC z opcją dołożenia drugiego. W przypadku stosowania dwóch zasilaczy istnieje możliwość wymiany jednego z nich w trakcie pracy urządzenia. Rozmiary urządzenia to: wysokość 44 mm (1U), szerokość 441 mm, głębokość 437 mm. Waga całkowita w zależności od ilości zasilaczy wynosi 10.9 lub 12.7 kg. Całość chłodzona jest trzema niezależnymi wiatrakami, które kierują ciepłe powietrze na tył. NT-2200 Rys. 4. Network Automation NT-2200 Appliance Rys. 5. Panel frontowy NT-2200 Rys. 6. Widok na tył NT-2200 10 Integrujemy przyszłość® W przeciwieństwie do swojego mniejszego „brata”, NT-2 200 pozwala na obsługę większych środowisk sieciowych, może być także stosowany jako centralny element w niedużych środowiskach rozproszonych. Jeżeli chodzi o interfejsy sieciowe są one bliźniacze w stosunku do modelu NT-1400, choć fizycznie rozmieszczone inaczej. NT-2200 posiada port konsolowy DB-9 (9600/8n1, Xon/Xoff) oraz dwa porty USB 2.0/1.1 nieaktywne, zarezerwowane do przyszłego wykorzystania. Platforma wyposażona jest w cztery dyski twarde skonfigurowane w R AID-10, zapewniające 1 TB dostępnego miejsca, umieszczone w przedniej części urządzenia. W tym modelu system chłodzenia składa się z pięciu niezależnych modularnych wiatraków zlokalizowanych z tyłu urządzenia. NT-2200 domyślnie wyposażony jest w dwa redundantne zasilacze AC (moc wyjściowa 960W) lub DC . Zarówno dyski, moduły chłodzące, jak i zasilacze możemy wymieniać w trakcie pracy urządzenia, bez konieczności demontażu obudowy. Numer: III/2013 (124) Rys. 7. Network Automation NT-4000 Appliance Wymiary urządzenia: wysokość : 88 mm (2U), szerokość: 4 41 mm, głębokość 540 mm. Waga ok. 18 kg. zasilacze AC o mocy wyjściowej 750W każdy. Zarówno wiatraki, dyski, jak i zasilacze można wymienić w trakcie pracy urządzenia. Wymiary fizyczne NT-4000 wyglądają następująco: wysokość: 85.9 mm (2U), szerokość 445.4 mm, N T- 4 0 0 0 t o najwię k sz y pr zed- głębokość 660.7 mm. Waga ok. 27.2 kg. st awiciel rodziny przeznac zony do obsługi dużych środowisk oraz Podsumowanie jako centralny element w dużych środowiskach rozproszonych. Jeżeli Zróżnicowanie urządzeń z serii NT chodzi o dostępne porty platforma pozwala na bardziej elastyczne dopasota nie różni się od NT-2200. Posiada wanie rozwiązania do potrzeb i wymagań 8 dysków twardych skonfiguro - użytkownika, daje możliwość tworzenia wanych w RAID-10 oferujących 1,2 TB rozproszonych architektur opartych dostępnego miejsca. Chłodzenie reali- o różne modele oraz – co bardzo istotne zowane jest za pomocą 4 niezależnych – umożliwia uniknięcie ponoszenia wiatraków. Urządzenie wyposażono zbędnych kosztów tam, gdzie nie fabryc znie w dwa redundantne jest to konieczne. Dzięki stworzeniu fizycznych urządzeń projektowanych do obsługi konkretnych funkcjonalności, uzyskiwana jest wyższa wydajność, stabilność oraz zminimalizowane jest ryzyko występowania awarii. Więcej informacji na temat zarówno platform jak i rodziny produktów „ Ne t wor k Aut omat ion ” mo ż na uzyskać na stronie producent a: http://www.infoblox.com/products/ network-automation. Opracowano na podstawie oficjalnych materiałów producenta. P.K. Inżynier SOLIDEX Waszych organizacji www.SOLIDEX.com.pl Biuletyn Informacyjny SOLIDEX® 11 TECHNOLOGIE Websense Triton Enterprise – kompletny system bezpieczeństwa dla przedsiębiorstw W dzisiejszych czasach ochrona informacji w przedsiębiorstwach staje się zadaniem coraz trudniejszym. Powodem tego jest coraz więcej kanałów, które mogą służyć do wymiany informacji, a co za tym idzie, wzrost liczby potencjalnych zagrożeń, których skutkiem mógłby być wyciek poufnych treści do sfery publicznej. Aby się przed tym uchronić przedsiębiorstwa muszą zapewnić bezpieczeństwo swoich danych na wszystkich możliwych płaszczyznach. Do największych zagrożeń należą w pierwszej kolejności: poczta elektroniczna, strony sieci www, a także wyciek i utrata danych. Aby zapewnić bezpieczeństwo we wszystkich tych aspektach, przedsiębiorstwa zwykle muszą używać różnego rodzaju narzędzi, oprogramowania, sprzętu, pochodzących od różnych dostawców. Jednakże, mimo wszystkich ponoszonych nakładów, zapewnienie kompleksowej ochrony informacji jest bardzo skomplikowane. Tym bardziej, że koszty wzrastają z każdym nowo zakupionym produktem. Dlatego dokonując wyboru systemu bezpieczeństwa dla firmy, należy zwracać uwagę nie tylko na skuteczność, ale również na tak samo istotną kompleksowość rozwiązania. Websense Triton Enterprise jest wszechstronnym systemem bezpiec z e ń s t wa dla pr z e d si ę bior s t w, k tór y potrafi zapewnić ochronę treści w odpowiedzi na praktycznie każde zagrożenie. Narzędzie, które d z ia ł a w c z a sie r z e c z ywis t ym gwarantuje użytkownikom: • Ochronę danych, dzięki najlepszemu przemysłowemu DLP (Data Loss Prevention). 12 • Bezpieczne przeglądanie sieci Web, włączając w to aplikacje, a także portale społecznościowe. • Bezpieczną pocztę elektroniczną – całkowitą izolację poufnych danych znajdujących się w wiadomości od zewnętrznych zagrożeń. Występujące obecnie zagrożenia dla danych, a także sposoby ich wykradania zmienił y dotychc zasowe podejście do obrony przed atakami. Integrujemy przyszłość® Samo filtrowanie ruchu na wejściu nie jest wystarczające. Aby system zapewniał jak najlepszą ochronę, musi działać w czasie rzeczywistym – nowy standard bezpieczeństwa tzw. „point-of-click”. Rozwiązanie Triton Enterprise jest nie tylko nowoczesnym systemem bezpieczeństwa dla wyrafinowanych zagrożeń, ale także – dzięki ujednoliconemu rozwiązaniu – potrafi obniżyć Numer: III/2013 (124) Rys. 1. Kompleksowość Websense Triton Enterprise nakłady inwestycyjne oraz koszty operacyjne. Sekretem sukcesu jest unifikacja wszystkich aspektów systemu: • Ujednolicona analiza zagrożeń – pozwala w pe ł ni wykorzystać potencjał stron typu Facebook, L inkedIn, Twitter oraz innych webowych aplikacji bez obawy przed atakami typu „Web-based”. • Ujednolic one z ar z ądz anie – Triton Console daje administratorowi pełny wgląd w to, co dzieje się w sieci Web, w poczcie elektronicznej, a także z bezpieczeństwem danych. System posiada 1100 wbudowanych reguł, dzięki którym użytkownik może tworzyć bardzo dokładne polityki dotyczące poufnych danych. • Ujednolicona platforma – pozwala egzekwować ustalone polityki, bez względu na to, w jaki sposób system został wdrożony. Administrator może zarządzać tym kto wysyła dane, gdzie, jak a wszystko bez względu na to, czy Triton Enterprise został zainstalowany jako Appliance, chmura czy w sposób hybrydowy. Websense Triton Enteprise składa się z trzech podstawowych modułów: Data Security Suite, Web Security Gateway A nywhere oraz Email Security Gateway Anywhere. Data Security Suite Moduł ten odpowiedzialny jest za zarządzanie ryzykiem utraty danych, a także chroni dane przed przypadkowym, niew ła ś c iwym uż yciem. W skład tego moduł u wchodzą trzy podstawowe narzędzia. Każde jest licencjonowane osobno, więc klient może na początku wybrać tylko jedno z nich, a dopiero z czasem dokupić następne. Pierwszym narzędziem jest Data Security Gateway. Jego zadaniem jest zapobieganie przypadkowemu lub celowemu przesyłaniu poufnych danych przez sieć. W tym celu Data Security Gateway monitoruje w czasie rzeczywistym wszelkie kanały komuni- Drugim narzędziem wchodzącym w skład Data Security Suite jest Data Discover. Jego zadaniem jest odnajdywanie wrażliwych danych, bez względu na to gdzie się one znajdują. Jest to realizowane poprzez skanowanie sieci, serwerów pocztowych, stacji roboczych, laptopów i innych. Oprogramowanie potrafi przeprowadzić akcje naprawcze, np. szyfrowanie, usuwanie pliku, podmianę Rozwiązanie Triton Enterprise jest nie tylko nowoczesnym systemem bezpieczeństwa dla wyrafinowanych zagrożeń, ale także – dzięki ujednoliconemu rozwiązaniu – potrafi obniżyć nakłady inwestycyjne oraz koszty operacyjne. System Websense Triton Enterprise stanowi kompleksowe i kompletne narzędzie, jakie może stać się podstawą zapewnienia bezpieczeństwa w firmie. kacyjne, takie jak strony Web, pocztę elektroniczną, sesje F TP, a tak że Ac tiveSync dla mobilnej poczty. Oprogramowanie to zawiera ponad 50 rodzajów raportów, kreatorów polityk bezpieczeństwa oraz szablonów konfiguracji. Potrafi automatycznie, w oparciu o polityki reagować na naruszenia bezpieczeństwa poprzez blokowanie, kwarantanny, szyfrowanie, a tak że wysyłanie powiadomień do użytkownika. Dokładna identyfikacja poufnych danych jest możliwa również w plikach graficznych za pomocą OCR. Biuletyn Informacyjny SOLIDEX® pliku, a także tworzyć audyty i logi. Działa efektywnie przy minimalnym wpływie na serwery, prowadząc skanowania podczas najmniejszego obciążenia. Poufne dane są identyfikowane za pomocą technologii Websense PreciseID. Ostatnie narzędzie to Data Endpoint. Kontroluje ono, w jaki sposób poufne dane są używane. Poprzez monitorowanie w czasie rzeczywistym pozwala na lepszą widoczność i kontrolę nad tym, jak wrażliwe informacje mogą migrować w sieci, kto ich używa, w jaki sposób oraz gdzie są przesyłane. 13 TECHNOLOGIE walczyć z zaawansowanymi atakami typu malware, spam, spyware oraz specjalnymi atakami skierowanymi. Również wszystkie adresy URL zawarte w wiadomościach są przetwarzane i sprawdzane w izolowanym środoEmail Security Gateway wisku pod kątem niebezpieczeństw Anywhere w momencie, kiedy użytkownik chce Ten moduł jest odpowiedzialny odwiedzić dany adres. Wspierane jest za ochronę przed wyciekiem danych również szyfrowanie wiadomości, poprzez pocztę elektroniczną. Jest by utrudnić wyciek wrażliwych inforw pełni funkcjonalny również w hybry- macji w nich zawartych. Dodatkowo dowym modelu wdrożenia. Dzięki użytkownik dostaje do dyspozycji technologii Websense TruHybrid dostęp do archiwum wiadomości oszczędzana jest przepustowość sieci w chmurze, a także analizę obrazów w przedsiębiorstwie, poprzez usuwanie z załączników, by zapewnić zgodność w chmurze spamu oraz innych zagrożeń z wybraną polityką. z wiadomo ś c i pr z ychodz ąc ych . Web Security Gateway Z apewnia przy tym dost ępnoś ć Websense Advanced Anywhere usługi na poziomie 99,999% oraz Classification Engine wykrywalność spamu na poziomie Jest to wszechstronne narzędzie co najmniej 99%. Websense TruEmail D ok ł adno ś ć or a z sk u t e c z no ś ć do ochrony użytkowników przed DLP oferuje możliwoś ć ochrony Websense Triton Enterprise zawdzięcza nowoczesnymi zagrożeniami w sieciach przez kradzież ą i utrat ą danych przede wszystkim swojemu silnikowi Web. Dzięki możliwości wdrożenia w kanałach SMTP. Posiada ponad k l a s y f i k u j ą c e m u – A d a n c e d hybrydowego Websene TruHybrid 16 00 wbudowanych szablonów Classification Engine (ACE). To właśnie chroni całą sieć, zarówno główną konfiguracji, aby uchronić klienta dzięki jego złożonemu systemowi siedzibę, jak i oddziały, użytkowników przed wyciekiem poufnych infor- punktującemu program doskonale wie, zdalnych oraz mobilnych. Technologia macji z jego przedsiębiorstwa poprzez z jakimi zagrożeniami ma do czynienia. TruWeb DLP zapobiega utracie danych, pocztę elektroniczną. Analiza ryzyka ACE dostarcza w czasie rzeczywistym zawiera unikalne funkcje, takie jak jest przeprowadzana z wykorzystaniem ocenę bezpieczeństwa w zakresie geolokalizacja miejsca przeznaczenia rozwiązań Websense ThreatSeeker ochrony, wydajności oraz zgodności. przesyłu danych, wykrywanie zaszy- oraz Websense ACE, by skutecznie System punktujący sprawdza dane frowanych niebezpiecznych plików, kradzieży danych, a także powolnych wycieków informacji (tzw. „drip” DLP). Wszystko działa w czasie rzeczywistym w oparciu o oprogramowanie klasyfikujące zagrożenia – ACE (Advanced Classification Engine) oraz Websense ThreatSeeker Network do ochrony przed zaawansowanym zagrożeniami typu malware i spam. Zaawansowany system zarządzania dostarcza użytkownikowi informacji na temat każdego incydentu w sieci: kto został zaatakowany, jakie informacje, gdzie dane miały zostać przesłane oraz jak atak został przeprowadzony, wszystko udokumentowane odpowiednią ilością logów. Dodatkowo narzędzie to potrafi filtrować dostęp do określonych typów filmów na YouTube, a także umożliwia korzystanie z serwisów typu Facebook czy LinkedIn, ale tylko w określonych celach (np. można ograniczyć korzystanie z gier lub przeszukiwanie ofert pracy). Co więcej Websense udost ępnia bezpośredni dost ęp Rys. 2. Kryteria szacowania ryzyka w ACE do Websense Security Labs, a także Kieruje także działaniami w punktach końc owych podejmowanymi, by uniknąć utraty danych. Jego cechą charakterystyczną jest to, że jest pierwszym przemysłowym narzędziem tego typu, współpracującym z systemem Mac OS X. Data Endpoint automatycznie wymusza zastosowane polityki w punktach końcowych, może blokować ruch, kontrolować i usuwać aplikacje, tworzyć audyty, logi, powiadomienia. Odnajduje, klasyfikuje oraz tworzy akcje naprawcze dla wrażliwych danych znajdujących się u użytkownika. Wszystko to działa skutecznie przy minimalnym obciążeniu dla stacji końcowych. 14 usługę CyberSecurity Intelligence (CSI), dającą możliwość przesłania podejrzanych plików w celu zbadania ich pod kątem zagrożeń. Integrujemy przyszłość® Numer: III/2013 (124) zagrożenie szac ując jego ocenę na podstawie siedmiu kryteriów. Pierwszym z nich jest Real-Time Security Classification (RTSC). Skupia się on na zagrożeniach związanych ze stronami sieci Web. Do jego zadań należy wykrywanie niebezpiecznych dodatków do przeglądarek, złośliwych kodów JavaScript, ActiveX, exploitów, ataków cross-site scripts (XSS) oraz zero-day, a także innych podejrzanych zawartości stron. Drugim kryterium jest Real-Time C ont ent C las sif ic at ion ( R T C C ). Prawdziwym wyzwaniem dla oceny bezpieczeństwa są strony generowane dynamicznie. Aby sprawdzić całą stronę trzeba oddzielnie traktować tekst, obrazy, linki, skrypty. Tym właśnie zajmuje się RTCC. Kolejnym narzędziem do oszacowania bezpieczeństwa jest Real-Time Data Classification (RTDC). Pozwala ono określić, czy wychodzące dane nie są poufne, czy samo ich przesłanie nie jest wynikiem ataku lub próby kradzieży. RTDC posiada rozległe możliwości sprawdzania, czy dane są wrażliwe. Potrafi za pomocą OCR weryfikować, czy przesyłane obrazy nie zawierają poufnych informacji (np. zrzuty ekranu). Przesyłane pliki tekstowe są sprawdzane pod kątem zawierania haseł, a także zawartości baz danych. Narzędzie to zapobiega również powolnym wyciekom informacji (Drip DLP), a tak że potrafi oszacować niebezpieczeństwo zaszyfrowanych plików. Następne kryterium to Anti-Malware Engines. Jest to zbiór narzędzi, które znając zasady działania oprogramowania typu malware są w stanie natychmiast wychwycić niebezpieczeństwo, nawet jeśli nie jest ono jeszcze ogólnie znane. Potrafi również przeglądać zawartość spakowanych plików pod tym kątem. Posiada także narzędzie do sprawdzania plików w formacie PDF. K olejny a spek t t o Reput at ion Analysis. W tym przypadku badana jest „reputacja” danego adresu URL/IP na zasadzie charakterystyk, których ACE rozróżnia ponad 20. Są to m.in. natężenie ruchu, dane z serwerów DNS, a także numer ASN. Następnym kryterium jest klasyfikacja adresów URL . W większości przypadków ten parametr brany jest pod uwagę razem z innymi, nabiera jednak znaczenia w momencie, kiedy jakiś adres jest podejrzany sam z siebie (manipulowanie nazwami tak, by adres na pierwszy rzut oka wyglądał, jak adres innej, znanej strony). Ostatnim aspektem branym pod uwagę przy szacowaniu r yzyka jest A nti-Spam/ Spear-Phishing . Aby uchronić użytkownika przed niebezpiecznymi linkami w wiadomościach e-mail, ACE uruchamia w izolowanym środowisku każdy link i dopiero po stwierdzeniu braku nieprawidłowości pozwala użytkownikowi na dostęp do niego. Z racji tego, że narzędzie to uruchamiane jest w chmurze, użytkownicy są chronieni przez cały czas, niezależnie od lokacji. Wykrywalność spamu jest w tym przypadku na poziomie 99,5%. Największą wartością technologii ACE jest jej zdolności do korelacji rezultatów szacowania niebezpieczeństwa na podstawie wszystkich siedmiu kryteriów. Algorytm kalkuluje ogólne ryzyko, a dzięki badaniu tak wielu aspektów, jego skuteczność jest bardzo wysoka. System Websense Triton Enterprise stanowi kompleksowe i kompletne narzędzie, jakie może stać się podstawą zapewnienia bezpieczeństwa w firmie. Dzięki wykorzystaniu odpowiednich rozwiązań jest w stanie odpowiedzieć na aktualne zagrożenia, zapewniając skuteczną ochronę poufnych danych. Opracowano na podstawie oficjalnych materiałów producenta M.K Inżynier SOLIDEX www.SOLIDEX.com.pl Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® 15 TECHNOLOGIE VMware Horizon View – środowisko wirtualnych desktopów Środowiska wirtualne na dobre zadomowiły się w serwerowniach i ciągle zwiększa się ilość usług działających pod ich kontrolą. Dzieje się tak ze względu na lepsze wykorzystanie zasobów fizycznych, większą elastyczność, łatwość zarządzania, prostotę tworzenia kopii bezpieczeństwa i nadmiarowość. Wszystkie te zalety są obecne w środowisku VMware Horizon View. A co więcej użytkownicy mają dostęp do swojego pulpitu z dowolnego miejsca, a administratorzy mają ułatwioną pracę. Przegląd funkcjonalności VMware Horizon View Mas z yny wir tualne d z ia ł ając e na platformie vSphere są udostępniane przez środowisko View jako wirtualne desktopy. Użytkownicy mogą łączyć się do nich za pomocą zwykłych desktopów lub laptopów z zainstalowanym klientem View. Może to być również tzw. cienki klient. Jest to zazwyczaj monitor z podłączoną klawiaturą i myszą, który posiada wsparcie dla protokołu PC over IP. Pule wirtualnych desktopów Administratorzy zarządzają desktopami na poziomie pul c zyli zbiorów podobnych do siebie desktopów. Istnieje kilka rodzajów pul: 16 z serwera usług terminalowych • pula manualna – Użytkownicy Microsoft. Może być wykorzystana otrzymują dedykowane maszyny ze względu na ujednolicenie środowir tualne i administrator musi wiska. Użytkownicy dostają się skonfigurować takie przyporząddo desktopów w ten sam sposób, kowanie dla każdego użytkownika. niezależnie czy jest to maszyna Wszystkie maszyny wirtualne muszą wirtualna, czy konto na serwerze. zostać wcześniej przygotowane przez administratora. Pula może się składać Przy tworzeniu puli możemy wybrać również z komputerów stacjonarnych jej typ: z zainstalowanym agentem View. • de dic at e d – P r z y pier ws z ym logowaniu użytkownika maszyna Jest to przydatne w nietypowych jest na stałe do niego przyporządprzypadkach lub w trakcie migracji kowywana. Przy każdym kolejnym na View, logowaniu użytkownik dostanie • pula automatyczna – Maszyny s ą au t o m a t y c z n i e t w o r z o n e dostęp do tej samej maszyny, z wykorzystaniem prekonfiguro- • floating – Użytkownicy przypisywani są do maszyn wirtualnych wanego szablonu (template), czyli automatycznie w trakcie logowania. maszyny wirtualnej z przygotoPo wylogowaniu użytkownika wanym wcześniej przez adminiprzyporządkowanie jest zapominane stratora systemem operacyjnym, i maszyna wraca do puli gotowa • pula usług terminalowych – Korzysta Integrujemy przyszłość® Numer: III/2013 (124) na przyjęcie połączenia od nowego użytkownika. Może być wykorzystana w połączeniu z pływającymi profilami w Active Directory dla danych użytkowników. Ma to sens np. dla zdalnych lokalizacji. Dane użytkownika są przesyłane lokalnie w serwerowni, a po łączach WAN przesyłany jest tylko obraz protokołem PCoIP lub RDP. Linked Clone Jeśli posiadamy komponent o nazwie View Composer, jesteśmy w stanie tworzyć desktopy typu linked clone. Podobnie jak w przypadku puli automatycznych, wszystkie desktopy korzystają z jednego obrazu maszyny wir tualnej. Twor zone masz yny nie są kopiowane w całości, tylko odwołują się do obrazu bazowego. C z yli w momenc ie utwor zenia nowego desktopu praktycznie nie zajmuje on miejsca. Dopiero zmiany, ja k ie wpr owad z i u ż y t kownik , są zapisywane per maszyna wirtualna. Wpływa to na oszczędność miejsca. Na przykład jeśli obraz bazowy ma 10GB i utworzymy za jego pomocą 3 desk topy, ka ż dy u ż ytkownik wprowadzi 100MB zmian, to całość puli zajmie 10,3GB. Na maszynie, która była wykorzystana do utworzenia puli wprowadzamy zmiany, a następnie je testujemy. Jeśli testy wypadną pomyślnie przeprowadzamy tzw. recompose puli, dzięki czemu zmiany są dystrybuowane do wirtualnych desktopów. Ponieważ zmiany, jakie wprowadza użytkownik do maszyny, nie są permanentne i np. recompose je skasuje, mamy możliwość wykorzystania tzw. persistent disk. Są to dyski przeznaczone na dane użytkownika. Aby dodatkowo oszczędzić miejsce, możemy również wykorzystać disposable file redirection. Jest to specjalny dysk na dane tymczasowe (np. cache przeglądarki), który jest czyszczony przy zamknięciu maszyny. Tryb lokalny Użytkownicy mogą mieć możliwość pracy w trybie lokalnym. Pozwala on na ściągnięcie maszyny wirtualnej na komputer użytkownika i pracę na wirtualnym desktopie bez Linked clone Linked clone są również wygodne jeśli chcemy wprowadzić zmiany we wszystkich maszynach w puli (np. instalacja poprawek). Komponenty VMware Horizon View Środowisko View jest uruchamiane na platformie VMware vSphere. Ponieważ wirtualne desktopy mogą korzystać ze wszystkich zalet tej platformy, pozwolę sobie po krótce opisać funkcjonalności vSphere. VMware Horizon View jest rozwiązaniem elastycznym, łatwym w zarządzaniu i bardzo skalowalnym. Utworzenie nowego desktopu sprowadza się do kilku kliknięć. komunikacji ze środowiskiem View. Aby zabezpieczyć się przed niepowołanym dostępem, cała maszyna jest szyfrowana na dysku. Administrator określa jak długo maszyna może pracować bez kontaktu z View i po tym czasie maszyna odmówi pracy w trybie lokalnym. Rys. 1. mo ż emy wykor z ys t a ć f unkc jo nalność ThinApp, która pozwala zapakować aplikację w pojedynczy plik binarny nie wymagający instalacji. Taki plik umieszczamy na udziale sieciowym. Po zintegrowaniu z wirtualnym desktopem pojawią się linki w Menu St ar t i moż na u ż ywać aplikacji w standardowy sposób. Po kliknię ciu w ikonę aplikacji zostanie ona odczytana z udziału sieciowego i uruchomiona. Integracja może również polegać na zapisaniu pliku bezpośrednio w wirtualnym desktopie. Zmniejszymy w ten sposób ruch sieciowy, ale zwiększymy rozmiar maszyn wirtualnych. VMware vSphere Maszyna wirtualna w środowisku VMware to zbiór plików z danymi i plików konfiguracyjnych. Pliki danych (wirtualne dyski) zawierają w sobie system operacyjny wraz z aplikacjami i danymi użytkownika. Pliki konfiguracyjne określają, z jakich zasobów maszyna korzysta (ilość CPU, RAM, ThinApp karty sieciowe itp.). Maszyny wirtualne Wirtualne desktopy są najwydaj- są uruchamiane na hypervisorach, czyli niejsze jeśli jesteśmy w stanie określić serwerach dedykowanych do wirtuczęść wspólną aplikacji, z których alizacji. Wszystkie hypervisory, które korzystają użytkownicy i te aplikacje mają dostęp do plików maszyny instalujemy na maszynie, z której wirtualnej, mogą ją uruchomić i jest są generowane wirtualne desktopy. to w pełni przezroczyste dla systemu W p r z yp a d k a c h s z c z e gó lny c h operacyjnego działającego na takiej możemy na konkretnych desktopach maszynie. Wykorzystując to podejście z a in s t a lowa ć nie s t a nda r dow e VMware zaimplementował następujące aplikacje, jednak nie jest to wydajne, funkcjonalności: a w przypadku linked clone praktycznie • vMotion – pozwala przenieść działającą maszynę z jednego hypervisora na drugi. niemo ż liwe . W t ym wyp adk u Biuletyn Informacyjny SOLIDEX® 17 TECHNOLOGIE • Storage vMotion – pozwala przenieść działając ą maszynę pomię dzy zasobami dyskowymi. • Hig h A vailabilit y – poz wala na natychmiastowe uruchomienie maszyny wir tualnej na innym hypervisorze, jeśli serwer, na którym działała, uległ awarii. • Thin Provisioning – nie alokuje niewykorzystanego miejsca na dyskach. Dysk maszyny wirtualnej zajmuje tyle miejsca, ile jest na nim danych, ale system operacyjny widzi pełną wielkość dysku. • Snapshoty – pozwalają na zapisanie stanu działającej lub wyłączonej maszyny wir tualnej i przywrócenie tego stanu w razie potrzeby. Uł atwiają twor zenie kopii z ap a s ow y c h lub t e s t ow a nie poprawek. • Dynamic Resource Scheduler – korzystając z vMotion dynamicznie równoważy obciążenie hypervisorów. Automatycznie przenosi maszyny wirtualne z przeciążonych serwerów. Rys. 2. Komponenty VMware Horizon View tworzyć specjalny rodzaj desktopów typu linked clone, to musimy mieć również View Composer. Za pomocą ThinApp jesteśmy w stanie zapakować standardową aplikację w jeden plik wykonywalny, który nie wymaga Środowisko View instalacji i zintegruje się z wirtualnym desktopem w sposób przezroczysty Podstawą środowiska jest VMware dla użytkownika. Do wirtualnych vSphere. Wirtualne desktopy działają desk t opów moż emy ł ąc z yć się jako standardowe maszyny wirtualne. ze standardowych komputerów, Zarządzaniem środowiskiem zajmuje cienkich klientów lub urządzeń się View Manager. Jeśli chcemy mobilnych. Rys. 3. 18 ViewManager Integrujemy przyszłość® View Manager View Manager jest komponentem przeznaczonym do zarządzania środowiskiem. Jest to wymagany element środowiska i działa jednocześnie jako serwer połączeń. Użytkownicy łączą się z nim aby uzyskać dostęp do swoich desktopów. Do zarządzania wykorzystuje interfejs webowy. V iew Manager posiada wiedz ę na t emat ś r odowisk a vSpher e i może wykorzystać jego maszyny wirtualne jako wirtualne desktopy. Numer: III/2013 (124) II/2012 (119) Podsumowanie Jeśli korzystamy z dodatkowych elementów środowiska View (np. Lync jest wieloplatformowy, dodatkowy serwer połączeń lub może View działać zarówno na komputerach Composer) to zintegrują się one z View stacjonarnych Windows i Mac OS, Manager. jak i Platformach Mobile Windows Phone, iOS Server (iPad, iPhone), Android. Connection Podstawowy D la du ż y c h interfejs ś r o d owinie s k odbiega m a my od wzorcowego okna komunikatora możliwość instalacji wielu serwerów internetowego. Rysunekkonfiguracji 3 przedstawia połączeń. W trakcie pionowo zorientowaną listę kontaktów środowiska możemy wybrać, które ze zdjęciami, obok umieszczono desktopy są dostępne przez status dany i opis, w górnej części menu podstaserwer połączeń. wowych funkcji. Wspomniany pulpit nawigacyjny upraszcza odnajdowanie View Composer iSerwer używanie typowych takich zajmujący sięfunkcji, tworzeniem jak klawiatura numeryczna, wizualna i zarządzaniem desktopami typu linked poczta głosowa, lista kontaktów i lista clone. aktywnych konwersacji. Lync jest bardzo elastyczny, jeśli Transfer server chodzi o wdrożenia i możliwości Serwer zajmujący się udostępnianiem integracji. Możliwa jest również maszyn dla trybu lokalnego. Pozwala integracja programu istniejącą ściągnąć maszynę naz komputer telefonią IP, jak na przykład Cisco. użytkownika. Rysunek 2 przedstawia przykładową integracjęServer z IP telefonami. Security Pozwala na bezpieczne połączenie Powyższy artykuł miał celu przedze środowiskiem Viewna z Internetu bez VPN. aplikacji Lync od strony stawienie użytkownika. Program Microsoft Lync Podsumowanie 2010 to doskonały klient do ujednoliconej komunikacji z możliwością VMware Horizon View jest rozwiąobsługi wiadomości błyskawicznych, zpołączeń a nie m egłosowych la s t yc z nym , łspotkań. a t w ym oraz w i bardzo skalowalnym. Wzarządzaniu zak tualizowanym inter fejsie Ut wor zenieprogramu nowegoLync derozmaite sk t opu użytkownika sprowadza się komunikacji do kilku kliknięć. Jeśli narzędzia do rozmieszzaczyna brakować zasobów, czono w nam sposób usprawniający ich to wystarczy rozbudować obsługę. Funkcje konferencjiplatformę są jeszcze vSphere, co również niewbudowanej jest skompliskuteczniejsze dzięki kowane. Od strony środowiska View funkcji udostępniania pulpitu i aplikacji, nie musimy nic robić, żeby skorzystać funkcji przekazywania w programie zPower nowych Backup jest Pointzasobów. oraz funkcji kopiowania uproszczony, bo nie trzeba i wklejania obrazów i innejintegrować zawartości. desktopów z systemem backupu, wystarczy zintegrować go zoficjalnych platformą Opracowano na podstawie vSphere. Użytkownicy materiałów producenta.mają dostęp do swoich aplikacji niezależ nie od urządzenia, z którego korzystają M.G. i miejsca, z którego pracują.SOLIDEX Inżynier SOLIDność w każdym działaniu... Opracowano na podstawie oficjalnych materiałów producenta. J.R. Inżynier SOLIDEX Biuletyn Informacyjny SOLIDEX® SOLIDEX® 1933 ROZWIĄZANIA Wiedza – porządek w bezpieczeństwie Bezpieczeństwo współczesnych sieci stanowi nie lada wyzwanie dla administratorów. Centralizacja i integracja zasobów, wirtualizacja, nowe usługi nie ułatwiają tego zadania. Na pierwszym miejscu stawia się zawsze zaimplementowanie danej usługi, zwraca się uwagę na zasoby, jakie są potrzebne, dba o wydajność. Dopóki system działa, nic złego potencjalnie się nie dzieje. Jednak w pewnym momencie nadchodzi dzień, w którym sieć może stać się celem ataku DDoS, wykradane są dane, zdarza się także, że sieć działa wydajnie i bez problemów, ale jest równocześnie źródłem spamu lub jest sterowana przez zewnętrzne serwery typu Command and Control. W poniższym artykule postaramy się przybliżyć zagadnienia związane ze współczesnymi systemami zabezpieczeń. Niejednokrotnie wśród naszych klientów zdarzają się systemy, które nie wymagają rewolucyjnych zmian, a po drobnej kosmetyce są w stanie zabezpieczyć całe systemy siec iowe pr zed wspó łc zesnymi zagrożeniami. Spośród wielu obecnie dostępnych technologii i systemów wybraliśmy kilka, które stanowią trzon, bez którego współczesne sieci w praktyce nie mogą efektywnie funkcjonować a jednocześnie są punktem wyjścia dla instalacji bardziej wyrafinowanych systemów ochrony i zarządzania bezpieczeństwem. 20 Pierwszy stopień bezpieczeństwa: ściana ogniowa (firewall) Na początku był firewall. W pierwszych implementacjach prosty, operujący na informacjach zawartych w warstwie drugiej i trzeciej sieci według modelu ISO OSI. Wówczas liczyła się przede wszystkim wydajność, z reguły dlatego, że funkcjonalność implementowana była głównie na routerach, których podstawową cechą jest przesyłanie pakietów zgodnie z tablicą routingu, co muszą robić naprawdę szybko. W literaturze bardzo często spotyka się określenie, że były to firewalle pierwszej generacji. Kolejnym etapem rozwoju tych Integrujemy przyszłość® systemów były firewalle aplikacyjne. Dedykowane systemy, które posiadają moż liwo ś ć inspekc ji informacji w pe ł nym spektrum, włącznie z warstwą aplikacji. Taki system stanowił duży krok naprzód w dziedzinie zabezpieczeń, który jednak została okupiony zdecydowanym spadkiem wydajności. Problem stanowił również wachlarz wspieranych aplikacji. Każda aplikacja wymagała dedykowanego systemu lub modułu, który potrafiłby rozpoznawać taką aplikację i dobierać dla niej odpowiednie mechanizmy zabezpieczeń. Trzeci etap rozwoju to dobrze dziś znane i szeroko obecne firewalle stanowe. Bez nich współczesne projektowanie Numer: III/2013 (124) systemów zabezpieczeń nie może się obejść. Operowanie na maszynie stanowej protokołu TCP jest rozwiązaniem, które przez ostatnie 20 lat sprawdzało się najlepiej. Jednak i ono nie jest wolne od problemów, związanych choćby z inspekcją protokołów operujących na dynamicznych portach, jak SIP czy rodzina protokołów RPC. Każdy producent takich systemów w różnym stopniu adresuje i rozwiązuje te problemy, co może stanowić jedno z kryterium wyboru stosowanego rozwiązania. Pojawia się więc pytanie, w jakim kierunku rozwijają się dalej produkty firewall? Kilka lat temu liczni producenci rozpoczęli ewolucję swoich rozwiązań Firewall w kierunku systemów zunifikowanego zarządzania zagrożeniami – Unified Threat Management (UTM). Do inspekcji stanowej dodano różne mechanizmy analizy zawartości, jak zapobieganie włamań (funkcjonalność IPS), antywirus, antyspam, filtrowanie adresów URL. Te elementy połączono z pracą w wysokiej dostępności, zintegrowanym systemem zarządzania i tak powstał nowy produkt. Aktualnie w rozwiązaniach UTM znajdziemy również funkcje zabezpieczające przed wyciekiem danych, ale z reguły jest to tylko stosunkowo okrojona namiastka możliwości w stosunku do dedykowanych systemów tego typu. W tym aspekcie bardzo dużo zrobiła ostatnio firma CheckPoint i wraz z wersją R76 dokonała bardzo ciekawych udoskonaleń. Instalacja w sieci urządzenia UTM sama w sobie jest dobrym posunięciem, jednak wiele firm uległo złudzeniu, że jedno urządzenie sieciowe działające na styku z siecią Internet zastąpi wiele innych systemów. W praktyce okazało się, że takie systemy UTM pozwalają w znaczy sposób ograniczyć ilość zagrożeń, ale jest to okupione wymaganą bardzo wysoką wydajnością takich urządzeń, co jest bardzo trudne do oszacowania na etapie tworzenia projektu i dobierania rozwiązania (konkretnej platformy), a zmieniające się warunki w sieci powodują, że niedawno zakupione maszyny stosunkowo szybko okazują się niewystarczające. Dlatego „unowocześnienie” rozwiązania firewall o nowe funkcje powinno stanowić tylko uzupełnienie innych systemów, a nie być postrzegane jako kompleksowy system, przy którym zapomina się o dedykowanych rozwiązaniach. Stosunkowo niedawno, niec ałe trzy lata temu pojawił się termin Next Generation Firewall (NGFW) i w nim należy dopatrywać się realnego następcy klasycznych firewalli. Usługi, które działają i komunikują się za pomocą sieci znacznie się rozwinęły. Definiowanie usług za pomocą portów przestało być wystarczającą metodą ich weryfikacji. Rozwój aplikacji internetowych przeniósł znaczną część ruchu na port 80, który z poziomu firewalla stanowego jest z reguły przepuszczany w całości. Producenci w tej sytuacji zastosowali dwa uzupełniające się mechanizmy: • dobrze znane filtrowanie adresów URL, • analizę sygnaturową na wzór tej stosowanej w systemach IPS. Dochodzi do tego jeszcze możliwość blokowania tzw. widgetów internetowych (głównie dostępnych na portalu typu Facebook), ale jest to raczej dodatek dla wybranych niż Next Generation Firewall Kontrola aplikacji TAK Identyfikacja użytkowników Active Directory, Captive portal, Agent System zapobiegania włamaniom TAK Wirtualne sieci prywatne IPSec VPN, SSL VPN * Praca w trybie wysokiej dostępności Active/Active i Active/Standby Praca w warstwie 2 i/lub w warstwie 3 TAK Unified Threat Management Anti-Virus TAK Anti-Spam TAK Filtrowanie URL TAK Anti-Bot TAK Data Loss Prevention Fingerprinting Virtual Private Network IPSec VPN, SSL VPN Zintegrowane zarządzanie TAK Funkcje warte uwagi Inspekcja ruchu SSL Proxy SSL , SSH Bezpieczeństwo zasilane z chmury producenta Zero-Day Security TAK System raportowania TAK Tabela 1. Charakterystyka technologii NextGeneration Firewall i Unified Threat Management Biuletyn Informacyjny SOLIDEX® 21 ROZWIĄZANIA wymaganie konieczne w dzisiejszym świecie zabezpieczeń. Kolejnym etapem, w szczególności dla rozwiązań typu por tal, było zapewnienie bezpieczeństwa podczas wymiany danych. Celem zapewnienia poufności, integralności i uwierzytelnienia zaczęto stosować protokół SSL. Z punku widzenia inspekcji ruchu pojawiła się jednak kolejna przeszkoda w postaci ruchu szyfrowanego, który jest przeźroczysty dla klasycznych rozwią zań. Producenci i w tym przypadku zapewnili odpowiednie mechanizmy, aby to co zaszyfrowane stało się dla firewalla jawne. Proxy SSL dla ruchu wychodzącego, jak również przychodzącego jest już od niedawna standardem w rozwiązaniach tej klasy. Warto zauważyć, że wraz z tymi systemami zyskuje się możliwość integracji z Microsoft Active Directory celem identyfikacji użytkowników przechodzących przez punkty egzekwowania polityk. Firewalle z przedrostkiem next generation posiadają wiele funkcjonalności wykorzystywanych praktycznie na co dzień, dlatego warto w nie zainwestować. Jeśli nie już dzisiaj, to na pewno w niedalekiej przyszłości każdemu administratorowi przyjdzie zmierzyć się z tym zagadnieniem. Tabela nr 1 przedstawia podstawowe cechy charakteryzujące rozwiązania firewall typu UTM i Next Generation. Drugi stopień bezpieczeństwa: systemy wykrywania i zapobiegania włamaniom IPS Podobnie jak w przypadku rozwiązań firewall nie jest to technologia nowa. Najczęściej jest to urządzenie instalowane w sieci, działające całkowicie transparentnie dla ruchu produkcyjnego. W takiej formie system może analizować cały ruch pod względem anomalii, jak również porównywać go z bazą wzorców dostarczoną przez producenta, umożliwiając blokowanie ruchu zaklasyfikowanego jako niebezpieczny, a nie tylko informowanie administratora o zdarzeniach, jak miało to miejsce w przypadku urządzeń wcześniejszej generacji Intrusion Detection System (IDS). O ile firewalle umożliwiają separację sieci i kontrolę przepływu pakietów, o tyle systemy IPS analizują już przetworzony ruch pod względem różnych nieprawidłowości. Ten system bezpieczeństwa wydaje się nieodzowną czę ścią każdego środowiska IT. Jednak napotykał, i w dalszym ciągu stwarza liczne problemy, zwłaszcza przy administracji i optymalizacji jego działania. Nie jest to z całą pewnością produkt o którym można zapomnieć od razu po jego wdrożeniu. Aby działał skutecznie wymagane je s t jego c yk lic z ne strojenie. I ten proces w dużej mierze jest problemem klasycznych sond IPS. Brak odpowiednich mechanizmów, które będą wspierały administratora przy efek tywnej prac y z t akim systemem, był powodem, dla którego te systemy nie przekonały szerokiego rynku, co do skuteczności swojego funkcjonowania. Systemy IPS również ewoluowały i ak tualnie moż na się spot kać z terminem Next Generation IPS. Klasyczne sondy zostały wyposażone w nowe mechanizmy analizy ruchu, zapewniając również pomoc administratorowi przy konfiguracji. Pojawiły się takie funkcje jak: • Integracja ze skanerami podatności – systematyczna analiza sieci takim skanerem pozwoli dobrać zestaw sygnatur dopasowany do danego środowiska, • Filtry bazujące na reputacji, które Next Generation IPS Porównywanie wzorców – sygnatury TAK Identyfikacja i kontrola aplikacji TAK Integracja z zewnętrznymi skanerami podatności TAK Analiza i kategoryzacja informacji w warstwie 7 TAK Identyfikacja użytkowników TAK Kwarantanna urządzeń TAK Funkcje warte uwagi Dedykowane rozwiązania sprzętowe ASIC Praca w trybie FailOpen (w razie awarii) Wbudowany/Zewnętrzny Aktywny/Pasywny Nauka charakterystyki ruchu Zaawansowana ochrona (D)DoS Własna baza podatności Poprawność analizy Implementacja w środowisku wirtualnym Inspekcja w trybie IPS/IDS Reputacja plików AntiVirus Analiza przepływów Netflow Punkt wejścia Trajektoria rozprzestrzeniania się zagrożeń Deszyfrowanie SSL Na tym samym lub wydzielonym urządzeniu Tabela 2. Charakterystyka technologii NextGeneration IPS 22 Integrujemy przyszłość® Numer: III/2013 (124) blokują komunikację z niebezpiecznych hostów czy sieci znajdujących się w Internecie, • Rozpoznawanie aplikacji na postawie sygnatur, podobnie jak ma to miejsce w przypadku Next Generation Firewall, • Integracja z usługami katalogowymi celem dokładniejszej analizy zdarzeń, • Wykrywanie i klasyfikacja systemów w sieci – z poziomu konfiguracji sondy można otrzymać informacje o aktualnym stanie danej sieci, np. jakie systemy komunikują się z siecią Internet, jak kształtują się przepływy na podst awie analizy danych z protokołu NetFlow; wachlarz dostępnych informacji jest w dużej mierze zależny od producenta. Najważniejszym elementem jest wsparcie, jakie administrator dostaje od systemu podczas jego konfiguracji. Nie musi już sam tworzyć profilu swojej sieci i dobierać ręcznie każdej sygnatury. Wiele działań zostało zautomatyzowanych, a niektóre systemy same podpowiadają, jakie elementy inspekcji powinny zostać wymuszone. Jeśli tylko jest taka możliwość, warto zwrócić uwagę na ewolucję tych systemów. Osoby, które do tej pory nie były przekonane do tej technologii, mogą być mile zaskoczone. Tabela nr 2 przedstawia kluczowe cechy charakterystyczne dla rozwiązań Next Generation IPS i najciekawsze funkcje godne uwagi. Trzeci stopień bezpieczeństwa: bezpieczeństwo treści Najc zę ściej wykorzystywanymi kanałami komunikacyjnymi we współczesnym świecie IT są WWW i email. Dzięki nim firmy efektywnie pracują i współpracują, a ludzie zyskują możliwoś ć szybkiej komunikacji i zdobywania dowolnych informacji za pośrednictwem urządzeń elektronicznych. Rynek ma to do siebie, że jeśli coś jest popularne, to z reguły szybko zostaje wykorzystane do generowania zysków lub zaszkodzenia drugiej osobie. Nie inaczej jest z pocztą internetową i stronami WWW. Z zalewem spamu rynek walczy od samego poc zątku, podobnie z zawirusowanymi plikami ściąganymi ze stron internetowych. Wraz z rozwojem technik programistycznych i zwiększeniem dostępności usług sieciowych, również stopień i złożoność zagrożeń znacznie ewoluowały. Wiele stron, czy domen działa tylko przez określony czas, a ataki są coraz częściej nakierowane na określoną, często wąską grupę odbiorców. W tym zakresie dużą rolę odegrały również sieci bot. O ile na początku były one dostępne dla relatywnie wąskiej grupy „odbiorców”, o tyle uwolnienie kodu trojana ZeuS spowodowało powstawanie nowych sieci tego typu. Dzisiaj już niemal każdy może za niewielką opłatą wynająć taką sieć celem przeprowadzania ataku na wskazane przez siebie zasoby. Realizacja mechanizmów ochrony w dost ępnie do zasobów. C zyli stronę widoczną pod adresem URL można zablokować, ale sprowadza się to do blokady całego serwisu, a nie tylko niebezpiecznej zawartości stanowiącej jego niewielką część. Rozwiązania dostępne na licencji GPL nie zawierają również zaawansowanych funkcji zarządzania i raportowania. Bez tych mechanizmów trudno sobie wyobrazić działanie takich produktów w sieciach korporacyjnych, w których liczy się szybkość reakcji na zagrożenia, a dyrekcja prosi administratorów o cykliczne raporty z każdego systemu bezpieczeństwa. Producenci zauważyli również, że przy wymianie danych wspomnianymi Współczesne systemy bezpieczeństwa potrzebują jednak ciągłego zasilania aktualizacjami, aby wykazały się skutecznością działania na wymaganym, wysokim poziomie. kanał u komunikac yjnego www wykonywana jest w kilku etapach. W pewnym uproszczeniu, dla kanału W W W moż na wydzielić nast ę pujące fazy: • Filtrowanie adresów UR L na podstawie przypisanej kategorii, • Filtrowanie adresów UR L na podstawie reputacji, • Analiza antywirusowa. Tak ie syst emy ju ż funkc jonują i są dostępne nawet jako rozwiązania open-source, a w przypadku niektórych baz za niewielką opłatą. Wsp ó ł c z e sne sys t e my b e z pie czeństwa potrzebują jednak ciągłego z a s ila nia a k t ua li z ac ja mi , ab y wykazały się skutecznością działania na wymaganym, wysokim poziomie. Producenci implementują trzy uzupełniające się mechanizmy do realizacji tego celu: 1. analiza danych na serwerach producenta, 2. szybkie aktualizacje bazy danych, nawet co kilka minut, 3. analiza i kategoryzacja treści na urządzeniach. W czasach dynamicznie zmieniających się stron internetowych statyczne bazy ograniczą tylko ruch do Internetu z danej sieci, a nie zapewnią ochrony Biuletyn Informacyjny SOLIDEX® kanałami komunikacyjnymi istotny jest jeszcze jeden czynnik – ochrona informacji wrażliwych. Dane przedsiębiorstw dotyczące klientów, patentów i technologii, czy planów strategicznych, stały się cennym towarem, który w momencie dostania się w niepowołane ręce jedne firmy może wręcz wyeliminować z rynku, a inne podnieść w różnych rankingach. Aby chronić tego typu informacje zaproponowano szereg technologii, które mają za zadanie analizowanie danych przepływających przez odpowiednie bramki web i email, celem wyszukiwania informacji wrażliwych i potencjalnie niebezpiecznych. Początkowo były to proste filtry, które operowały na typach plików i wyrażeniach regularnych. Z biegiem czasu pojawiły się techniki zwane fingerprinting (odcisk palca). W ich przypadku liczone są funkcje mieszające. W zależności od producenta może być to hash z pliku binarnego lub z czystego tekstu, który jest zakodowany w pliku. Najbardziej dokładne mechanizmy operują na maskach, które liczone są z odpowiednio przeformatowanego tekstu. Taka metoda analizy powoduje, że analiza danych na bramach jest skuteczna również w momencie 23 ROZWIĄZANIA Bezpieczeństwo treści Cechy ogólne Integracja z Microsoft Active Directory TAK System raportowania i analizy TAK Współpraca z systemami SIEM TAK Usługi w chmurze Niezależne lub zintegrowane Bezpieczeństwo zasilane z chmury producenta Zero-Day Security TAK Wsparcie dla urządzeń mobilnych TAK Web Security Proxy dla ruchu szyfrowanego TAK Baza danych adresów URL Mechanizmy rekategoryzacji Dynamiczna kategoryzacja i klasyfikacja TAK AntiVirus i AntiMalware TAK Email Security Selektywne szyfrowanie poczty TAK Graylisting TAK System AntiVirus TAK Data Security Analiza danych na zasobach sieciowych oraz w bazach danych TAK Fingerprinting TAK OCR TAK Misrosoft RMS TAK Tabela 3. Charakterystyka technologii bezpieczeństwa treści modyfikacji informacji bazowej. Skutecznoś ć jak zawsze zawar ta jest w szczegółach. Optymalizacja parametrów działania tych mechanizmów jest kluczem do poprawnego wdrożenia systemu. War to zdać sobie w tym miejscu sprawę, że nie ma systemów gwarantujących 100% wykrywalności takich incydentów. Aktualnie istnieją już systemy, które oferują analizę formatów graficznych (OCR), ale wdrożenie skutecznego systemu chroniącego przed wyciekiem danych zawsze będzie się wiązało z inwestycją w różne elementy systemów bezpieczeństwa, w tym w system kontroli dostępu do zasobów. Z tego wniosku płynie poniekąd konieczność dalszej ewolucji tych systemów – niezbędna jest edukacja i automatyczne informowanie pracowników o potencjalnie niepożądanych działaniach, które podejmują podczas codziennej pracy. W efekcie systemy Web, Email i Data 24 Loss Prevention posiadają liczne funkcje, które zwiększają poziom bezpieczeństwa. Wybrane elementy takich systemów zostały przedstawione w tabeli nr 3. w niejednym systemie IT. Zmiany w tej technologii opierają się głównie na wprowadzeniu obsługi nowych st andardów k r yptografic znych, optymalizacji działania mechanizmów routingu oraz lepszego systemu zarząCzwarty stopień dzania i raportowania. Technologia bezpieczeństwa: ta jest już bardzo dojrzała i jej produkty równoważenie obciążenia kierowane na rynek biznesowy i ochrona aplikacji spełniają oczekiwania praktycznie każdego klienta. Bezpieczeństwo środowiska IT odnosi W przypadku tych produktów dzisiaj się do wielu jego aspektów. Nie liczy się bardziej wysoka wydajność ominęło ono również centrów danych i możliwość uruchomienia dodati serwerów aplikacyjnych. W nomen- kowych mechanizmów kontroli klaturze ukuł się termin Application danych, między innymi firewalla Delivery Controller (ADC), który określa aplikacyjnego. zestaw mechanizmów mających dopro- Web Application Firewall jest zbiorem wadzić do stanu, w którym serwe- technik zabezpieczeń dedykowanych rownie będą charakteryzowały się aplikacjom działającym w oparciu wysoką dostępnością, niezawodnością, o protokołu HT TP. W dzisiejszym będą skalowalne i chronione przed świecie ilość takich aplikacji rośnie zagrożeniami. Poniżej powiemy więcej bardzo dynamic znie. K a żda ju ż o dwóch elementach: równoważeniu niemal firma udostępnia usługi obciążenia i ochronie aplikacji WWW. dla swoich klientów i partnerów. Pierwszy element zadomowił się już Mało kto na etapie rozwoju takiej Integrujemy przyszłość® Numer: III/2013 (124) Application Delivery Controller Instalacja w środowisku wirtualnym Web Application Firewall Ochrona sygnaturowa Optymalizacja procesów zarządzania sesjami Ochrona DoS i DDoS Implementacja języka skryptowego w celu uzupełnienia funkcjonalności Selektywne szyfrowanie Równoważenie obciążenia na podstawie informacji z różnych warstw OSI Monitorowanie stanu i dostępności serwerów i usług Dynamiczne metody równoważenia ruchu Utrzymanie ciągłości sesji Ochrona przed atakami na aplikacje internetowe (XSS, SQL Injection, …) Analiza logiki aplikacji Integracja ze skanerami podatności Ochrona przed botami Virtual Patching Geolokalizacja i reputacja IP Tabela 4. Cechy rozwiązań Application Delivery Controller i Web Application Firewall aplikacji pamięta o jej bezpieczeństwie. Ta kwestia, zazwyczaj spychana na ma r g ine s , nieje dnok r ot nie ostatecznie jest pomijana ze względu na napięte terminy. Coraz więcej aplikacji jest więc podatnych na ataki, a współczesne narzędzia pozwalają szybko dostać się do takich niechronionych zasobów. Najczęściej spotykanymi mechanizmami ochrony są: • analiza logiki aplikacji i zmian jakie towarzyszą przy jej rozwoju, • ochrona sygnaturowa, która może zostać zrealizowana przez opisany wcześniej system Next Generation Firewall, • element wielowar stwowej ochrony przed atakami DoS i DDoS dedykowany dla warstwy aplikacji, • wysunięcie mechanizmów ochrony poz a ś rodowisko aplikac yjne , co skutkuje tym, że bezpieczeństwem zajmują się osoby dedykowane do tego celu, a niekoniecznie deweloperzy aplikacji, którzy niekoniecznie posiadają taką wiedzę. Istotną cechą tych systemów jest to, że poziom ochrony może wzrastać wraz ze wzrostem wiedzy administratora takiego systemu. Pierwsze fazy wdrożenia mogą być przeprowadzone praktycznie automatycznie przez system z minimalnym zaangażowaniem personelu. Optymalizacja i stopniowe dostosowywanie (tuning) odbywa się już przez odpowiednie osoby i z możliwym zaangażowaniem programistów. Systemy te zyskują coraz większą popularność. Może to być spowodowane również tym, że firmy coraz częściej padają ofiarą ataków i mają problemy ze skutecznym chronieniem swoich zasobów przed współczesnymi zagrożeniami. Tabela nr 4 podsumowuje charakterystyczne cechy rozwiązań Application Delivery Controller i Web Application Firewall. Podsumowując, zabezpieczenie współczesnych sieci stanowi duże wyzwanie. Jest wiele elementów, na które administrator sieci musi zwracać uwagę, a pojawiające się nowe trendy nie tylko mu tego zadania nie ułatwiają, ale wręcz utrudniają. Każdy producent wspomnianych systemów bezpieczeństwa próbuje zaistnieć na rynku przedstawiając swój produkt w jak najlepszym świetle, podkreślając szczególnie cechy, które najlepiej zaimplementował w swoim rozwiązaniu. Jednak to każdy z odpowiedzialnych za dane środowisko sieciowe indywidualnie musi sobie odpowiedzieć na pytanie, co tak na prawdę chce chronić i co może z tego zrealizować przez systemy, które ma już aktualnie wdrożone. T.P. Inżynier SOLIDEX Biuletyn Informacyjny SOLIDEX® 25 ROZWIĄZANIA Efektywniej, taniej, łatwiej … INFOBLOX Jeszcze nigdy zarządzanie siecią korporacyjną oraz jej krytycznymi usługami takimi jak: serwery DHCP, DNS oraz adresacją IP nie było tak łatwe, bezpieczne i efektywne, jak dzisiaj. Obecnie przed administratorami IT w firmach stawia się coraz wyższe wymagania. Systemy informatyczne charakteryzują się coraz większą złożonością i skomplikowaną budową or a z wię k s z ymi z ale ż no ś c iami między sobą. Dodatkowo szybkimi krokami zbliża się wizja migracji z protokołu IPv4 do IPv6. Do tego wszystkiego dochodzi rosnąca liczba zapytań DNS generowanych przez użytkowników i wzrastająca ilość urządzeń, które działają w sieci. Z uwagi na powyż sze c z ynnik i margines dopuszc zalnego błędu administratora IT, w takich rozbudowanych systemach informatycznych, jest minimalny. Dlatego też coraz łatwiej jest doprowadzić do totalnego paraliżu środowiska informatycznego w firmie. Obecna sytuacja w firmowych środowiskach informatycznych generuje potrzebę centralnego zarządzania krytycznymi usługami dostępnymi w sieci oraz monitorowania i zarządzania urządzeń wielu producentów z poziomu jednego rozbudowanego, 26 z aut omatyzowanego i ł atwego w obsłudze systemu. Tak narodziła się idea rozwiązań firmy Infoblox DDI oraz NetMRI. w lokalizacjach wpływa niekorzystnie na poprawność oraz płynność funkcjonowania sieci firmowych. Dzięki rozwiązaniu Infoblox DDI w skład, którego wchodzi centralnie zarządzany Co to jest Infoblox DDI? serwer DNS możemy zautomatyzować dotychczas ręcznie wykonywane, To gwaranc ja wysokiej dost ęp - powt ar z alne konfigurac je ora z ności wszystkich krytycznych usług poprawić ich wydajność (rysunek 1). sieciowych dokładnie tam, gdzie ich Redukuje to ryzyko powstania błędu potrzebujemy. Dzięki automatyzacji ludzkiego do minimum. i kontroli nad takimi usługami jak: DNS, DHCP czy też IPAM Nazwa du ż o ł at wiejs z e jest eliminowanie ryzyka popełnienia Adres IPv4 błędu przy rekonfigurac ji infrastruktury sieciowej. Adres IPv6 DNS (Domain Name Server) Coraz większa liczba zapytań DNS oraz brak centralnego zarządzania s e r w e r a mi DN S Rys. 1. DNS Integrujemy przyszłość® Numer: III/2013 (124) Sieć IPv6 Zakres delegowanych prefiksów Zakres podsieci IPv6 Adresy IPv6 Rys. 2. IPAM (IP addres managament) Duża liczba różnorodnych urządzeń wewnątrz sieci firmowej, wir tualizacja, duża liczba podsieci oraz w wielu przypadkach rozproszona architektura geograficzna generuje potrzebę centralnego zarządzania całą adresacją IP w firmie. Dzięki rozwiązaniu IPAM w bardzo łatwy sposób możemy dodawać i usuwać podsieci eliminując jednocześnie błąd ludzki. Narzędzie to pozwala nam dodatkowo na analizę, monitoring oraz raportowanie zajętości puli adresowej wewnątrz naszego środowiska (Rys. 3). Dzięki temu zawsze jesteśmy gotowi na rozbudowę sieci oraz zmiany jakie przyniesie przyszłość. IPv6DHCP Infoblox Grid W instytuc jach o roz proszonej IPv6 (Kontener) Wsparcie dla atrybutów strukturze geograficznej w wielu przypadkach problemem pozostaje znalezienie rozwiązania, które zawierałoby automatyzację zarządzania, oferowałoby rozproszeniem usług i jednocześnie było środowiskiem odpornym na awarie. Dzisiaj wszystkie te cechy można osiągnąć dzięki zastosowaniu technologii Infoblox Grid. Infoblox Grid to zbiór niezawodnych i połączonych w bezpieczny sposób urządzeń dostarczających jedną lub więcej usług. Główne urządzenie nazywane Grid Master znajduje się w centralnym punkcie rozproszonej geograficznie architektury usług sieciowych, Grid Master odpowiada za koordynowanie działania mniejszych urządzeń zainstalowanych w lokalizacjach, za ich aktualne polityki sieciowe, konfiguracje itp. Sieci IPv6 (rysunek 4). Jednocześnie umożliwia konfigurowanie wybranych urządzeń niezależnie z jednego centralnego Rys. 3. IPv6IPAM punktu. Natomiast w lokalizacjach znajdują się mniej wydajne urządzenia, DHCP (Dynamic Host Configuration zarządzania usługą DHCP poprzez dzięki czemu możemy budować Protocol) monitorowanie zajętości adresów IP rozproszoną i bezpieczną architekturę Rozproszona i rozbudowana obecnie z zadanej puli serwera oraz podejmo- za rozsądne pieniądze. W jednej z lokaliinfrastruktura sieciowa jest dużym waniu odpowiednich akcji jeśli pula zacji w celu zapewnienia redundancji wyzwaniem dla administratorów zostanie wykorzystana (rysunek 2). urządzenia w lokalizacji centralnej IT. W tak złożonych systemach Rozwiązanie Infoblox DDI daje nam wybieramy jedno urządzenie, które nie trudno o proste błędy, które pewność, że nowym urządzeniom w przypadku awarii łącza do lokaliostatecznie prowadzą do długich zawsze zostanie przydzielony adres IP, zacji centralnej przejmie funkcję przestojów, a co za tym idzie do zwięk- a dodatkowo dzięki zaawansowanym centralnego zarządzania wszystkimi szenia kosztów związanych z utrzy- funkcjom raportowania mamy wgląd innymi urządzeniami, takie urządzenie maniem sieci firmowych. Dzięki w historię przydzielania adresów IP nazywamy Grid Master Candidate. rozwiązaniu firmy Infoblox całko- konkretnym urządzeniom w intere- Jeśli jeszcze architektura rozproszona wic ie aut omat yz ujemy pr o c e s sującym nas czasie. z redundancją Grid Mastera jest Biuletyn Informacyjny SOLIDEX® 27 ROZWIĄZANIA niewystarczająca, to można w centrali jak i lokalizacjach rozbudować system o dodatkowe urządzenia, które będą pracować w trybie HA. Technologia ta zmniejsza ryzyko wystąpienia awarii, zwiększa wydajność poprzez lokalne świadczenie krytycznych usług sieciowych DHCP, DNS i IPAM, jednocześnie zachowując centralny punkt zarządzania. Przykład działania Infoblox Gird w przypadku różnych anomalni oraz awarii opisuje rysunek 5. Dzięki rozwiązaniu Infoblox DDI administratorzy sieci mogą szybko, trafnie i precyzyjnie rozwiązywać problemy, z którymi dotychczas się borykali. Niejednokrotnie informatycy podczas rozbudowy sieci o nową lokalizację lub centrum danych stawiali sobie pytanie, czy na pewno istniejąca w firmie infrastruktura obsłuży nowe połączenia? Infoblox DDI dostarczy precyzyjnych danych, które pozwolą na uzyskanie odpowiedzi na powyższe pytanie (rysunek 6). Tym samym rozwiązanie DDI zapewnia działanie aplikacji i usług biznesowych przed, w trakcie i po dodaniu nowej lokalizacji czy też centrum danych. Rys. 4. Infoblox Grid - architektura Rys. 5. Infoblox Grid – schemat działania w przypadku awarii Infoblox DDI posiada też wbudowane zaawansowane narzędzia do raportowania, które mogą stać się przydatne na przykład przy audycie DHCP, kiedy pojawia się potrzeba sprawdzenia kto w przeszłości miał przydzielany dany adres IP (rysunek 7). Oszczędza to czas, który administrator może poświęcić na inne działania. Korzyści wynikające z zastosowania rozwiązania Infoblox DDI: Mocno skalowalne, bezpieczne, bezawaryjne rozwiązanie wysokiej dostępności (HA) do zarządzania usługami DNS, DHCP i adresacji IP. Scentralizowane zarządzanie i wsparcie dla sieci opartych o protokoły IPv4 i IPv6. Pełne wsparcie dla wirtualizacji, integracja z VMware. Wbudowane wsparcie dla DNS, DNS-SEC, DHCP, FTP, TFTP, HTTP, HTTPS i NTP. Automatyczne przełączanie w przypadku awarii oraz zaawansowane mechanizmy odzyskiwania danych. Scentralizowane zarządzanie współpracujące z Infoblox, Microsoft DNS i usługami DHCP. Skuteczne wykrywanie adresacji sieci i zautomatyzowane zarządzanie adresami IP (IPAM). Proste i szybkie zarządzanie konfiguracją całego systemu oraz jego aktualizacjami. 28 Integrujemy przyszłość® Numer: III/2013 (124) Istotną korzyścią, którą oferuje rozwiązanie firmy Infoblox jest zapewnienie dost ępności kr ytyc znych us ł ug sieciowych obecnie i w przyszłości. Intensywność rozwoju firm powoduje wzrost ich wymagań np. w zakresie pojemności serwerów DNS. Dzięki rozwiązaniu Infoblox DDI administrator może precyzyjnie kontrolować obciążenie usług sieciowych między innymi takich jak serwer DNS (rysunek 8), tym samym może skutecznie przeciwdziałać awarią i na bieżąco realizować wszelkie zapotrzebowania rozwijającej się firmy. Sprawdź czy wykorzystane zasoby sieci powodują problem i czy trzeba zwiększyć jej pojemność. Skalowalność pod obsługę obecnego i przyszłego środowiska dla usług DNS / DHCP Przewiduj skutki powiększenia infrastruktury zanim będzie za późno. Podgląd każdego z serwerów DNS Rys. 6. Planowanie Co to jest Infoblox NetMRI? NetMRI to wiodące rozwiązanie automatyzacji sieci zawierających urządzenia wielu producentów (mutli-vendor). Z setek wbudowanych reguł i najlepszych praktyk, automatyzuje zmiany w sieci i zarządzanie konfiguracjami. Infoblox NetMRI charakteryzuje się inteligentnym zarządzaniem konfiguracjami urządzeń co zmniejsza ryzyko błędu ludzkiego. NetMRI jest kluczowym rozwiązaniem do zarządzania dynamicznymi i złożonymi środowiskami sieciowymi i zapewnia obsługę protokołu IPv6. Dzięki ścisłej integracji z Infoblox DDI, użytkownicy mogą korzystać z automatycznej synchronizacji bazy IPAM i szybszego wprowadzania zmian z użyciem automatyzacji zadań. Zmiany w sieci i analiza wpływu zmian. Infoblox NetMRI wykrywa i śledzi wszystkie zmiany w sieci, w tym kto co zmienił, gdzie i kiedy i jaki wpływ miały te zmiany. Dodatkowo ka żda histor yc zna konfiguracja zostaje zapisana aby w łatwy sposób side-by-side porównać wybrane konfiguracje (rysunek 9). Automatyzacja obejmuje też wbudowane zadania, skrypty i szablony konfiguracji, które pomogą w ułatwieniu zmian wykonywanych na urządzaniach jednocześnie czyniąc je bezpieczniejszymi, ponieważ redukujemy ryzyko ludzkiego błędu. NetMRI wykorzystuje setki standradów i najlepszych branżowych praktyk, aby zrozumieć i wskazać wpływ Szybkie definiowanie użytkowników / MAC / serwera. Łatwe ustawienie filtra dla widoków historycznych - ostatni tydzień miesiąc lub konkretny zadany okres. Generowanie raportu w ciągu kilku sekund, aby uzykać szczegółowe informacje. Rys. 7. Audyt DHCP Szybkie definiowanie problemów. Obserwowanie anomalii, które mogą mieć wpływ na szybkie dziełanie usługi DNS. Sprawdzanie poprawności zapytań do serwera DNS (QPS). Śledzenie zapytań na sekundy, aby zobaczyć wzrost przyszłych wymagań. Rys. 8. Zapytania DNS zmian zarówno na funkcjonowanie sieci oraz jej zgodnoś ć . NetMRI wykrywa zmianę i uzupełnia zautomatyzowaną analizę w celu określenia Biuletyn Informacyjny SOLIDEX® odchyleń od prawidłowej konfiguracji i wskazuje luki, które mogą wpłynąć na stabilnoś ć sieci. Dodatkowo rozwiązanie Infoblox NetMRI jest 29 ROZWIĄZANIA wyposażone w wyjątkową funkcjonalność jaką jest Punktacja Sieci, dzięki której widzimy jak bezpieczna jest nasza sieć w skali od 0-10 (rysunek 10). Punktacja jest wyliczana w czasie rzeczywistym i przy każdej zmianie, rekonfiguracji urządzeń widzimy jaki wpływ na naszą sieć miały działania administratora IT - pozytywny czy negatywny. Widok sieci NetMRI oferuje narządzenia „Network Dicovery”, które wykrywa urządzenia w i e lu p r o du c e n t ó w i t w o r z y na tej podstawie spis urządzeń oraz aktualną topologię sieci. Przyjazna dla użytkownika analiza schematu połączeń oraz jej graficzna prezentacja zapewniają bogaty zasób informacji na temat sieci w organizacji, w tym informacji o: VL AN-ach, tablicach routingu, trasach, HSR P/ V R R P, podsieciach, systemach operacyjnych urządzeń i modelach. Rys. 9. Widok wszystkich zmian w sieci Automatyzacja zmian w sieci Dzięki technologiom takim jak wirtualizacja czy też Cloud Computing, sieci są coraz bardziej dynamiczne. Mimo to wiele zespołów IT nadal używa ręcznych sposobów dokonywania zmian na wielu urządzeniach, co zwiększa ryzyko błędu. W rezultacie powoduje to ograniczoną kontrolę nad poprawnością zmian. NetMRI, które obejmuje Change Manager Automation, zawiera konfigurowalne szablony do wykonywania podstawowych i złożonych zmian, pomaga to zmniejszyć ryzyko błędu. Rys. 10. NetMRI – zakładka z punktacją sieci W idoc z no ś ć z aję t o ś c i por t ów w przełącznikach W wielu organizacjach występuje problem ze świadomością zajętości portów w poszczególnych urządzeniach. Dlatego dzięki funkcjonalności Infoblox NetMRI może w czasie rzeczywistym analizować zajętość wszystkich portów w przełącznikach. Dodatkowo w celu redukcji kosztów i optymalizacji sieci mamy możliwość analizy historycznej zajętości portów na wybranych urządzeniach. Rys. 11. NetMRI - widok topologi 30 Integrujemy przyszłość® Numer: III/2013 (124) Rys. 12. NetMRI – zakładka z widokiem zajętości portów w przełącznikach Rys. 13. NetMRI – zakładka z widokiem zajętości portów w przełącznikach Korzyści wynikające z zastosowania rozwiązania Infoblox NetMRI: Wykrywanie i automatyzacja zmian w sieci. Informacje kto dokonywał zmian, gdzie, co zmienił, kiedy te zmiany zostały wykonane oraz jaki miały wpływ na siec. Dynamiczna inwentaryzacja i widok wszystkich urządzeń sieciowych, zależności między urządzaniami oraz topologii. Identyfikacja nieoptymalnej konfiguracji z inteligentną analizą. Punktacja sieci. Poprawienie zarządzania wykorzystaniem urządzeń. W skrócie, NetMRI automatyzuje sieć, oferuje pełny wgląd w czasie rzeczywistym, kontrolę zarządzania zmianami i konfiguracjami. Daje też narzędzia, dzięki którym szybko możemy wykrywać problemy, analizować ich wpływ na naszą sieć oraz je rozwiązywać. Narzędzia Infoblox DDI oraz NetMRI są stworzone do obsługi dzisiejszych dynamicznych i złożonych środowisk sieciowych, w tym takich wyzwań, jak migracja z protokołu IPv4 na IPv6, wirtualizacja czy Cloud Computing. Biuletyn Informacyjny SOLIDEX® Opracowano na podstawie oficjalnych materiałów producenta. J.S. Inżynier SOLIDEX 31 ROZWIĄZANIA Cisco Unified Computing System UCS – jak to działa? Jeszcze do niedawna centra przetwarzania danych były budowane w oparciu o serwery fizyczne z instalowanym dedykowanym natywnym systemem operacyjnym. Taki model wymagał dużych nakładów poniesionych na zagospodarowanie przestrzeni i zasobów w serwerowni. Przez zasoby należy rozumieć przestrzeń fizyczną w szafach rakowych, ilość połączeń oraz ilość wykorzystanej energii potrzebnej do zasilenia całej infrastruktury serwerowej. W celu oszczędzenia zasobów został wprowadzony model serwerów kasetowych. Cisco zmodyfikowało architekturę blade wprowadzając Unified Computing System (UCS), aby była jeszcze bardziej oszczędna, elastyc z na, a z apotr zebowanie na moce chłodzenia pomieszczenia serwerowego spadło. Rysunek 1, przedstawiający porównanie rozwiązania Rack i Cisco UCS, daje nam pogląd na rozmieszczenie urządzeń w szafie rakowej, natomiast tabela 1 przedstawia korzyści, jakie daje nam wykorzystanie rozwiązania typu blade. Rozwiązanie takie pozwala na bardziej efektywne i lepsze wykorzystanie zasobów fizycznych, zwiększa również elastyczność, wprowadza prostotę zarządzania i konfiguracji połączeń. 32 Tradycyjny rack Jedno wirtualne chassis (od 1 do 160 serwerów blade) 2 x interconnects 2 x FC Switches 2 x Enet Switches 40 x Rack Managers 40 x Rack Servers Rys. 1. 2 x FC Switches 2 x Enet Switches 2 x Rack Managers for 40 Rack Servers 32 x blade servers Porównanie rozwiązania Rack i Cisco UCS Integrujemy przyszłość® Numer: III/2013 (124) Rozwiązanie Rack W przypadku gdy chcemy dodać wiele kart można skorzystać z ich szablonów. Raz zdefiniowany szablon dowiązuje się do service profilu, a UCS Manager tworzy wszystkie potrzebne parametry. Podobnie postępujemy w przypadku kreowania kart HBA. Oczywiście tutaj także można skorzystać z szablonów. Jeśli w fizycznym serwerze zainstalowano dyski i chcemy z nich utworzyć R A ID 1 , wys t arc z y ż e zos t anie zmieniony parametr „Local Storage Profile“ w UCS Managerze na RAID1, a podczas następnego bootowania systemu otrzymamy skonfigurowaną macierz R AID. Bardzo wygodnym rozwiązaniem jest także możliwość aktualizacji firmware wszystkich komponentów. Aby przejść do nowszej wersji wystarczy załadować najnowszą paczkę, wskazać co chcemy aktualizować, a UCS Manager rozpropaguje najnowsze wersje na wszystkie serwery. Jak było powiedziane na początku ka żdy ser vice profile musi być Rozwiązanie Cisco UCS Powierzchnia do 38% oszczędności Energia potrzebna do zasilenia do 23% oszczędności Chłodzenie do 23% oszczędności Połączenia mniejsza ilość okablowania, prostota połączeń Tabela 1. Zalety rozwiązania Cisco UCS UCS – Budowa Hierarchiczna usługowy musi określać wszystkie niezbędne parametry fizyczne, jakie UCS Manager jest centralną aplikacją będą potrzebne do uruchomienia służącą do zarządzania całym środo- fizyc znego ser wera . C o wa ż ne, wiskiem blade. Aplikacja ta jest za pomocą odpowiedniego sprzętu, przechowywana na każdym z urządzeń większość urządzeń jest wirtualizowana z a r z ą d z a j ą c o - p r z e ł ą c z a j ą c y c h bez straty wydajności. Na przykład tzw. „fabric interconnec”. Podczas jeśli chcemy, aby nasz serwer posiadał implementacji środowiska UCS zaleca dwie karty sieciowe musimy je dodać się wykorzystanie dwóch fabric ineter- do service profilu. Następnie należy connectów, co pozwala na osiągnięcie podać adresy M AC , jakie bę dą redundancji. Taka topologia umożliwia posiadały karty. Można to zrobić wykorzystanie pełnej funkcjonal- manualnie – przy pełnej dowolności ności produkcyjnej w przypadku definiowania – lub wykorzystując maski. awarii jednego z interconnectów. Aby utworzyć klaster należy spiąć dwa UCS Manager urządzenia dwoma portami dedykowanymi do tego celu, osadzonymi na przednim panelu. Podczas pierwszego uruchomienia należy podać IP dla każdego z urządzeń, a także wirtualny adres IP, przez który uzyskuje się dostęp do klastra. Zarządzać nim można w trybie graficznym, logując się na wirtualny adres przez przeglądarkę. Drugim sposobem jest wykorzystanie protokołu SSH. Wykorzystując Fabric Extender tę metodę mamy możliwość zalogowania się do klastra, jak również na poszczególne urządzenia. Należy pamiętać iż klaster funkcjonuje tylko dla ruchu zarządzającego, natomiast ruch produkcyjny jest realizowany w oparciu o dwie niezależne matryce przełączające, które pracują w trybie redundantnym. Blade Server Fabric Interconnect Blade Chassis Service Profile – definicja serwera Cisco Unified Computing System opiera się na konfiguracji definicji serwera zwanego Service Profile (profil usługowy), który następnie jest przypisywany do serwera fizycznego znajdującego się w chassis. Każdy profil UCS Cards Rys. 2. UCS - budowa hierarchiczna Biuletyn Informacyjny SOLIDEX® 33 ROZWIĄZANIA RAID settings Disk scrub actions FC Fabric assignments for HBAs SAN Number of vHBAs HBA WWN assignments FC Boot Parameters HBA firmware QoS settings Border port assignment per vNIC NIC Transmit/Receive Rate Limiting VLAN assignments for NICs VLAN tagging config for NICs LAN Number of vNICs PXE settings NIC firmware Advanced feature settings Remote KVM IP settings Call Home behavior Remote KVM firmware Server UUID Serial over LAN settings Boot order IPMI settings BIOS scrub actions BIOS firmware BIOS Settings Rys. 3. Service Profile - atrybuty • Profile Name = vmhost-cluster1-1 • UUID = 12345678-ABCD-9876-5432-ABCDEF123456 • Description = ESX4u1 – 1st Host in Cluster 1 • LAN Config vNIC0 Switch = Switch A vNIC0 Pin Group = SwitchA-pingroupA vNIC0 VLAN Trunking = Enabled vNIC0 Native VLAN = VLAN 100 vNIC0 MAC Address = 00:25:B5:00:01:01 vNIC0 Hardware Failover Enabled = No vNIC0 QoS policy = VMware-QoS-policy vNIC1 Switch = Switch B vNIC1 Pin Group = SwitchB-pingroupA vNIC1 VLAN Trunking = Enabled vNIC1 Native VLAN = VLAN 100 vNIC1 MAC Address = 00:25:B5:00:01:02 vNIC1 Hardware Failover Enabled = No vNIC1 QoS policy = VMware-QoS-policy • Local Storage Profile = no-local-storage • Scrub Policy = Scrub local disks only • SAN Config Node ID = 20:00:00:25:B5:2b:3c:01:0f vHBA0 Switch = Switch A vHBA0 VSAN = VSAN1-FabricA vHBA0 WWPN = 20:00:00:25:B5:2b:3c:01:01 vHBA1 Switch = Switch B vHBA1 VSAN = VSAN1-FabricB vHBA1 WWPN = 20:00:00:25:B5:2b:3c:01:02 • Boot Policy = boot-from-ProdVMax Boot order = - Virtual CD-ROM - vHBA0, 50:00:16:aa:bb:cc:0a:01, LUN 00, primary - vHBA1, 50:00:16:aa:bb:cc:0b:01, LUN 00, secondary - vNIC0 • Host Firmware Policy = VIC-EMC-vSphere4 • Management Firmware Policy = 1-3-mgmt-fw • IPMI Profile = standard-IPMI • Serial-over-LAN policy = VMware-SOL • Monitoring Threshold Policy = VMware-Thresholds Rys. 4. Service Profile – obiekt XML 34 przypięty do fizycznego serwera, aby można było korzystać z jego zasobów. W celu ułatwienia zarządzania serwerami istnieje możliwość tworzenia puli fizycznych serwerów, do której dowiązujemy szablon profilu usługowego. Wyobra źmy sobie, że utworzyliśmy szablon serwera dla usługi WWW. W puli serwerów dowią zanych z tym szablonem mamy obecnie 2 serwery. Gdy zajdzie potrzeba dodania trzeciego serwera z profilem usługi WWW, wystarczy dodać kolejny serwer do puli serwerów WWW, a UCS utworzy natychmiast jego kolejną instancję. Oczywiście istnieje możliwość uruchamiania profilu usługowego na dokładnie określonym fizycznym serwerze. Rysunek 4 przedstawia konfigurację profilu użytkowego serwera. Konfiguracja jest obiektem XML który jest łatwy to podejrzenia. Gdy tworzymy nowy szablon profilu musimy zdecydować, jakiego będzie rodzaju: • Initial Template jest to szablon do tworzenia nowego serwera z szablonu. Po uruchomieniu i wykreowaniu serwera nie ma żadnego powiązania pomiędzy szablonem a ju ż d z ia ł ają c ym s er wer em . W przypadku gdy dokonamy jakichkolwiek zmian w szablonie serwera zmiany te nie będą się propagowały Integrujemy przyszłość® Numer: III/2013 (124) na już działający serwer. Oczywiście istnieje możliwość zmiany w sposób manualny atrybutów w działającym serwerze. • Updating Template jest to szablon do tworzenia nowego serwera. Po uruchomieniu i wykreowaniu serwera pozostaje powią zanie pomiędzy szablonem a działającym serwerem. Wszystkie wprowadzone zmiany są propagowane na wszystkie serwery, jakie zostały utworzone z tego szablonu. Gdy administrator wprowadzi zmiany do szablonu musi zdecydować czy zmiany mają być wprowadzone natychmiast, czy chce je zaimplement owa ć w z aplanowanym oknie serwisowym. Jest to ważne gdyż zmiany zaczną obowiązywać dopiero po powtórnym uruchomieniu serwera. Zazwyczaj proces powtórnego uruchomienia serwera zajmuje do 20 minut. Fabric Interconnect jest to część systemu UCS będąca punktem styku pomiędzy UC S a zewnętrznymi urządzeniami wymagającymi dostępu do serwerów. Dzięki zastosowaniu technologii zunifikowanych portów możemy dołączać do niej urządzenia, które wykorzystują różne rodzaje protokołów (o tym jakie decyduje wkładka SFP+ jaką obsadzimy dany port). Jesteśmy w stanie uzyskać komunikację dla Native Fiber Channel (FC), 1/10GbE, FCoE, iSCSI, NAS. Oczywiście FC Rys. 5. Eth Fabric Interconnect zunifikowane porty istniej możliwość agregacji portów i tworzenia portów Etherchannel lub SanPortchannel, co pozwala na zwiększenie przepustowości. Projektując topologie UCS należy pamiętać o tym, że porty są licencjonowane wyłącznie na ilość aktywnych por tów w danym c zasie, rodzaj protokołu nie ma znaczenia. Drugą funkcję, jaką pełni Fabric Interconnect, jest zapewnienie łączności z modułem Fabric Extender, który jest zainstalowany w chassis kasetowym (blade). W celu zapewnienia redundancji i agregacji portów, zaleca się podłączenie co najmniej dwoma linkami. Każdy z linków zapewnia 10 Gbit/s Ethernet z obsługą ruch FCoE. Ilość linków zależy od modelu Fabric Extendera, jakim obsadzimy chassis. Istnieją modele 4 i 8 portowe. W zależności z ilu linków skorzyst amy, zapewnimy sumar yc zną pr z epus t owo ś ć do ws z ys t k ic h serwerów obsadzonych w chassis. Cały ruch data oraz ruch zarządzający z serwerów jest przenoszony tymi połączeniami do Fabric Interconnecta, gdzie podejmowana jest decyzja, w jaki sposób obsłużyć ruch. Dla protokołu FC jest wykonywana enkapsulacja w FCoE na wyjściu z karty sieciowej serwera, następnie ramka jest transportowana do Interconnecta, gdzie zostaje podjęta decyzja, czy jest potrzeba dekapsulacji do postaci FC czy też ruch dalej ma być obsługiwany w postaci FCoE do urządzeń zewnętrznych. Gdy planujemy topologię UC S , należy pamiętać, iż porty na interkonekcie wykorzystane do połączenia z extederem należy licencjonować jak pozostałe porty zunifikowane. Architektura Vm-Fex Dzięki zastosowaniu Vm-Fex porty sieciowe, które zostały utworzone w profilu us ł ugowym ser wera, są wykorzystane bezpośrednio przez DCB Ethernet Zarządzanie serwerami Kanały (KVM, USB, CDROM, Adaptery) Poszczególne łącza Ethernet Poszczególne łącza Storage (iSCSI, NFS, FC) Rys. 7. Rys. 6. Kabel Twinax Biuletyn Informacyjny SOLIDEX® Architektura Vm-Fex 35 ROZWIĄZANIA maszynę wirtualną. Innymi słowy maszyna wirtualna jest podłączona bezpośrednio do hardware serwera, co pozytywnie wpływa na jego wydajność. Rysunek 7 przedstawia topologię rozwią zania z zaznaczonymi wirtualnymi portami, które są wyniesione do warstwy fizycznej. Takie rozwiązanie pozwala na uproszczenie konfiguracji i przeniesienie decyzji o obsłudze ruchu z CPU hosta do warstwy fizycznej, a tym samym poprawia wydajnoś ć działania. Co więcej, to rozwiązanie wpływa również na poprawę bezpieczeństwa poprzez zastosowanie Vlanów w celu separacji ruchu. Separacja ruchu z kolei pozwala na poprawę wydajności zmniejszając wielkość domeny rozgłoszeniowej. Należy pamiętać iż Vm-Fex może pracować w dwóch trybach. Pierwszy z nich to „Standard Mode”. W tym trybie ruch z wirtualnych serwerów przechodzi przez hypervisor. Drugim trybem pracy jest „Direct Path”, w którym ruch z wirtualnych serwerów omija hypervisora, co pozwala na zwiększenie wydajności I/O do 30 procent. Fabric Extender 2 Fabric Extendery 8 Wentylatorów 4 wejścia AC 8 - serwery half lenght 4 - serwery full lenght 4 zasilacze Rys. 9. Obudowa serwerów - chassis najwyżej 8 x 10 Gbit /s, co daje sumarycznie 80 Gbit/s do wszystkich serwerów. B22M3, B200M3, B220M2) lub 4 serwerami full lenght (B420M3, B440M2). Dopuszczalne są również konfiguracje mieszane czyli np. sześć Blade Chassis serwerów B220M2 i jeden serwer typu full B420M3. Do środowiska UCS typu Obudowa składa się z 2 Fabric Exten- lbade można także podłączyć serwery derów, które połączone są z inter- typu rack, które dołącza się do interconnectem za pośrednictwem kabli connectów. Takie rozwiązanie pozwala Twinax. Wszystkie wentylatory można na zarządzanie wszystkimi typami wymieniać w trakcie pracy urządzenia serwerów z jednego centralnego (hot-swap). Obudowę można obsadzić miejsca, jakim jest UCS Manager. 8 serwerami half lenght (modele 10GbE/FCoE Rys. 8. Fabric Extender 2208XP Jest to moduł instalowany w obudowę serwerów. Zadaniem modułu jest po ł ąc zenie chassis, gdzie inst alowane są fizyczne serwery, z interconnectem, w którym zlokalizowana jest logika i zarządzanie środowiskiem UCS. Rysunek 8 przedstawia model 8 portowy. W przypadku zastosowania tego modułu mamy do wykorzystania 8 linków 10 Gbit/s. Maksymalnie każdą obudowę serwerów możemy obsadzić dwoma takimi urządzeniami. Jeśli zastosujemy model 2208 otrzymujemy 16 x 10 Gbit/s, co daje łącznie 160 Gbit/s przepustowości do wszystkich serwerów w jednym chassis. Istnieje również model 2104XP, który pozwala na wykorzystanie maksymalnie 4 portów. Decydując się na ten model możemy uzyskać 36 { Eth FC 0 1 FC Eth 3 127 Interfejsy wirtualne definiowane w UCS Manager 2 Wirtualna karta sieciowa Rys. 10. Wirtualizacja karty sieciowej Integrujemy przyszłość® Numer: III/2013 (124) Wirtualizacja fizycznej karty sieciowej Ser wer y typu blade wymagają instalacji karty rozszerzeń. Karty te inaczej są nazywane „mezzanine”. Dzięki zainst alowanym kar tom serwer komunikuje się z pozostałymi urządzeniami. Model karty o symbolu UC S1280 pozwala na utworzenie do 256 kart wirtualnych, zaś model M81KR – do 128. Po obsadzeniu serwera jedną z wymienionych kart administrator może wykreować (wykorzystując UCS Managera) karty PCIe, które widziane są przez system operacyjny na serwerze jako osobne karty fizyczne. Wirtualizacja kart jest dostępna dla sieci SAN, karty HBA, które wykorzystują do komunikacji FC, a także dla sieci Ethernet karty NIC . C ał y ruch Ethernet , który wychodzi z wirtualnych kart trafia do interconnecta, gdzie zostaje podjęta Opracowano na podstawie oficjalnych decyzja, w jaki sposób ma zostać materiałów producenta. obsłużony ruch. W odmienny sposób M.W. jest traktowany ruch w sieci SAN, ruch Inżynier SOLIDEX FC zostaje enkapsulowany w FCoE i przesłany do interconnecta, który podejmuje decyzję, jak obsłużyć ruch. Gdy chcemy wykorzystać wirtualizację kart HBA musimy podać mapowanie numeru VLAN do przenoszenia ruchu FC dla konkretnego VSAN. Zaleca się, aby VL AN-y, które przenoszą ruch FC, nie były wykorzystywane w czę ści sieciowej poza środowiskiem UCS. Zastosowanie wirtualnych kart sieciowych pozwala na wysoką elastyczność środowiska i budowę topologii w praktyce nieograniczonych. Jeśli zajdzie potrzeba dodania nowych kart NIC lub kart HBA, wystarczy dodać je w UCS Managerze, a system operacyjny rozpozna je jako nowe urządzenia. Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 47 37 ROZWIĄZANIA Współczesne ataki DDoS oraz metody zapobiegania ich skutkom. Google, Microsoft, Apple, PayPal, Visa, MasterCard… wiele spośród największych witryn świata padło ofiarą ataków DDoS (ang. DistributedDenial-of-Service, czyli rozproszona odmowa usługi), przeprowadzanych z wielu komputerów jednocześnie. Ich głównym celem było doprowadzenie do sytuacji, w której zasoby zaatakowanych witryn staną się niedostępne dla użytkowników. W ostatniej dekadzie liczba ataków DDoS zwiększyła się znacząco, a stojące za nimi motywacje ewoluowały. Pierwszy rozproszony atak na dużą skalę (DDoS) miał miejsce w 1999 roku i był skierowany przeciwko serwerowi IRC Uniwersytetu Minnesoty. Zainfekowanych zostało 227 komputerów, a atak sprawił, że serwer uniwersytecki stał się bezużyteczny na dwa dni. Od tamtej pory techniki oraz motywy przeprowadzanych ataków rozwijały się. O ile na początku historii DDoS to młodzieńczy bunt i przekora popychały hakerów vdo działania, to od ok. 2005 roku ataki DDoS są wpisane w przestępczy biznes internetowy oraz działalność haktywistów, a wykorzystywane do nich narzędzia trudno nazwać amatorskimi. W grudniu 2010 roku zwiększyły się naciski na WikiLeaks, aby witryna przestała publikować tajne depesze amerykańskiej dyplomacji. W odpowiedzi na nie grupa Anonymous ogłosiła swoje 38 poparcie dla WikiLeaks i w ramach tzw. Operacji Payback przypuściła serię ataków DDoS na serwery takich firm, jak Amazon, PayPal, MasterCard i Visa. Ataki te doprowadziły do zawieszenia witryn firm MasterCard i Visa. Narzędzie, z którego korzystano przy atakach grup Anonymous/WikiLeaks, to program o nazwie Low Orbit Ion Cannon (LOIC). Mimo że jest to rozwiązanie open source stworzone z myślą o testowaniu aplikacji internetowych pod kątem obciążeń, w tym przypadku zostało wykorzystane do przeprowadzenia ataku DDoS. W 2010 roku wielkość przeprowadzanych ataków radykalnie się zwiększyła, po raz pierwszy przekraczając barierę 100 Gb/s, czyli około 22 tysiące razy tyle, co przeciętna przepustowość łącza dostępna wtedy dla zwykłego użytkownika Internetu w USA. Integrujemy przyszłość® 2012 i później: nasilenie ataków w warstwie aplikacji Co prawda istnieje wiele różnych metod ataków DDoS, jednak można wyodrębnić wśród nich dwie kategorie: • ataki wolumetryczne: ataki typu flood (ang. powódź) intensywnie obciążają przepustowość i infrastrukturę sieci (np. UDP, TCP SYN, ICMP); • at ak i w war s t wie aplik ac ji: ataki te są tworzone pod kątem określonych usług, tak by wyczerpać ich zasoby (H T T P, DNS , SIP ). Poniewa ż zuż ywają one mniej pasma, trudniej jest je wykryć . Idealna sytuacja do przeprowadzenia ataków DDoS w warstwie aplikacji występuje wtedy, gdy wszystkie inne usługi pozostają nienaruszone, a sam serwer jest zupełnie niedostępny. Numer: III/2013 (124) Zgodnie z tym podejściem powstało oprogramowanie Slowloris, które jest stosunkowo trudno wykrywalne w porównaniu z większością narzędzi do ataków typu flood. Według informacji firmy Stratecast liczba ataków DDoS zwiększa się o 2 0 % - 45 % roc znie, pr zy c zym wzrosty liczby ataków w warstwie aplikac ji s ą trzyc yfrowe. Trend wzrostu dynamiki ataków DDoS w tym obszarze jest wyraźny i mało prawdopodobne jest, by się odwrócił. Nie jest to jednak oznaka tego, że ataki wolumetryczne w warstwie sieciowej lub transportowej zanikną. Wręcz przeciwnie – obydwa rodzaje ataków będą się łączyć zyskując na sile. Jak wynika z raportu firmy Verizon z 2012 roku o dochodzeniach w sprawie utraty danych (2012 Verizon Data Breach Investigations Report), wiele zaawansowanych ataków DDoS w warstwie aplikacji, kryjących się za atakami wolumetrycznymi, wykorzystano do przysłonięcia prób kradzieży danych. Jest to dowód na to, że ataki wielowektorowe są już używane do ukrycia ich faktycznego celu. mistrzostw świata w piłce nożnej). Urządzenia mobilne jak smar tfony c zy tablety stają się coraz bardziej powszechne. Wraz z zalewem rynku przez te urządzenia, się zasobów oraz umieszc zenie dedykowanych rozwiązań w miejscu, gdzie będą proaktywnie chronić i wykrywać potencjalne ataki lub niedobory zasobów. Drugą metodą Celem ataku DDoS jest wygenerowanie na serwerze ofiary ruchu o ogromnym natężeniu, który spowoduje przeciążenie systemu i uniemożliwi mu obsługę autentycznych zapytań. Według informacji firmy Stratecast liczba ataków DDoS zwiększa się o 20%-45% rocznie, przy czym wzrosty liczby ataków w warstwie aplikacji są trzycyfrowe. Laboratoria FortiGuard zaobser- jest znalezienie i analiza możliwych w o w a ł y w z m o ż o n y n a p ł y w luk w systemie. Tak jak słabe punkty złośliwego oprogramowania dla są często wykorzystywane do przepronich przeznaczonych. Urządzenia wadzenia ataków hakerskich, tak samo mobilne stają się celem wielu twórców w łatwy sposób mogą zostać wyelibotnetów i niedł ugo bę dziemy minowane lub zabezpieczone przed świadkami pierwszych udanych zagrożeniami. prób czerpania przez nich zysków. Żeby lepiej się bronić przed atakiem Efektem może być defraudacja opłat za połączenia i usługi Botnet – technologia Premium SMS lub wyłudzanie w służbie cyberprzestępców. okupów przez oprogramowanie ransomware. W najprostszej postaci botnet jest Innym ciekawym zjawiskiem grupą komputerów zainfekowanych zaobserwowanym w ciągu z ł o ś liwym opr og r a mowa nie m ostatnich lat przez Laboratoria (malware), k tóre daje swojemu FortiGuard są botnety dobrozarządcy określony poziom kontroli wolne, w których użytkownicy nad zainfekowaną maszyną. Każdy świadomie instalują botnet botnet – a działają ich obecnie tysiące na swoich komputerach. Organi– jest wykorzystywany przez swoich zacje takie jak Anonymous zarządców do realizacji różnych niele- dystrybuują do szerokiej grupy galnych działań bez wiedzy właścicieli programistów i zwolenników komputerów. Raz zarażony komputer ruchu narzędzia umożliwiające staje się nieświadomym „zombie”, r ealiz ac ję at aków sk ier o gotowym wykonać każde polecenie wanych przeciwko firmom lub swojego „pana”. organizacjom rządowym. Ten Celem ataku DDoS jest wygenerowanie rodzaj dobrowolnej rekrutacji na serwerze ofiary ruchu o ogromnym nazywany jest haktywizmem. natężeniu, który spowoduje przeciąż e nie s y s t e mu i u nie m o ż liw i Jak uchronić się przed mu obsługę autentycznych zapytań. skutkami ataków Powszechnie stosowaną techniką DDoS? jest uruchomienie bardzo krótkiego ataku, w celu wymuszenia „ochrony” Istnieje wiele metod zapobieprzed kolejnym, bardziej intensywnym gania atakom DDoS, które atakiem. Pewne strony tematyczne pozwalają na utr zymanie są szczególnie narażone na takie ataki ciągłości usługi. Pierwszą z nich podczas kluczowych dla nich wydarzeń jest świadomość, że istnieje Rys. 1. Analiza ruchu wykonywana przez FortiDDoS. (np. s t r ony spor t owe podc z a s możliwość wyczerpywania Biuletyn Informacyjny SOLIDEX® 39 ROZWIĄZANIA Rys. 2. Struktura wewnętrzna FortiAsic-Traffic Processor (TP). Rys. 3. Przykład monitorowania wykrytych ataków. DDoS, należy zrozumieć, w jaki sposób on przebiega. Ten typ ataku jest często mylony – i nie jest to przypadek – z awarią systemu. Wynika to z faktu, że zanim zdążymy podjąć jakiekolwiek działania mające na celu jego wykrycie, DDoS ustępuje bądź zostaje czasowo zawieszony, a to uniemożliwia przeprowadzenie skutecznego dochodzenia. Ataki DDoS często ukryte są pośród innych ataków i posiadają specjalne me c ha ni z my ic h wyk r ywa nia ora z podejmowania dec yzji, w jakich okolicznościach kontynuować, a w jakich wstrzymać swoje działanie. O ile ataki wolumetryczne są możliwe do powstrzymania na brzegu sieci operatora, o tyle ataki o mniejszej przep ł ywności, ale nast awione na wyczerpanie zasobów platform świadczących usługi, wymagają stosowania mechanizmów ochrony w sieci organizacji. Jedną z technik, którą może zastosować zarówno operator, jak i departament IT są usługi reputacyjne, czyli blokowanie połączeń z określonych podsieci IP, a nawet 40 państw. Dost ępne technologie bezpieczeństwa firewall/IPS działają na zasadzie ograniczenia dostępu przez blokowanie „złego” ruchu blokując jednak także „legalny” ruch. Urządzenia te są często systemami „stanowymi”, czyli przetwarzającymi wszystkie sesje. W związku z tym same mogą stać się celem ataków. Celem ochrony przed DDoS powinno być utrzymanie dostępu do usługi. Badania rynku i środowiska Internetu przez specjalistów Fortinet wskazują zmieniające się trendy w wielkości ataków DDoS. Okazuje się, że mniej niż 10% ataków ma wolumen ponad 10Gbps, a ponad 75% to ataki poniżej 1Gbps. Tradycyjne metody ochrony przed DDoS stosowane przez operatorów s ą skoncentrowane na at akach wolumetrycznych. Jeżeli przeanalizujemy te metody i związane z nimi okoliczności, to możemy zauważyć, że: • Operatorzy limitują ruch przed wysłaniem go do swoich klientów. • Więk szoś ć at aków u ż ywa fałszywych adresów i uniemożliwia powtrzymanie ruchu od określonych sieci. • Czas reakcji na rozpoczęty atak mieści się w zakresie 10 minut do 4 godzin. • Wymagana jest modyfikacja list dostępu lub rekonfiguracja routingu, często przy zaangażowaniu pracy ludzi. Najszybciej rosnącą metodą ataków są ataki w warstwie aplikacji. Aby skutecznie usunąć zagrożenie dla usług, rozwiązanie ochronne powinno: • Stosować analizę behawioralną oraz heurystyczną. • Wykrywać małe celowane ataki. • W yk or z y s t yw a ć t e c hnolog ie spr z ę t owe w c elu spr os t ania wymaganiom wydajnościowym. • Automatyczne powstrzymywać „zły” ruch przy zezwoleniu na ruch „legalny”. Rys. 4. Implementacja FortDDoS z FortiBridge pełniącym funkcję bypass. Integrujemy przyszłość® Numer: III/2013 (124) Rys. 5. Implementacja klastra FortDDoS z zapewnieniem synchronizacji sesji. wykrywania podszywania się (ang. spoofing’u) oraz analizę heurystyczną i behawioralną. Metody zliczania połączeń http umożliwiają śledzenie parametrów typu: User-Agent, Host, Cookie, Referer. Podejmowane decyzje są często weryfikowane (blokowanie nie dłużej niż 15s) w celu uniknięcia fałszywego rozpoznania ataku (ang. false positive). FortiDDoS posiada rozbudowane mechanizmy integracji z systemami zarządzania oraz wbudowane funkcje monitorowania. Na rysunku nr 3 wykryte ataki zostały oznaczone róż nymi kolorami w zależ ności od przyczyny ataku. Typowe wdr o ż enie F or t iDDo S na brzegu sieci organizacji przewiduje zastosowanie mechanizmu bypass np. FortiBridge (rysunek 4). Ochrona styku z Internetem może wykorzystywać dwa urządzenia FortiDDoS synchronizujące wzajemnie stan sesji. Dzięki temu dopuszczalny jest routing asymetryczny oraz bezproblemowa redundancja łącza. Implementacja w datacenter zakłada zewnętrzne balansowanie ruchu za pomoc ą loadbalanserów lub przełączników. Najwydajniejsze dostępne obecnie urządzenie For tiDDoS zapewnia ochronę na poziomie ruchu 3 Gbps w obu kierunkach. W przygotowaniu na rok 2013 są modele o większej wydajności oraz wyposażone w interfejsy 10GE. Więcej informacji o serii produktów FortiDDoS można uzyskać na stronie internetowej producenta – Fortinet. http://www.fortinet.com/products/ fortiddos/index.html Rys. 6. Implementacja FortDDoS z zewnętrznym balansowaniem ruchu. Rozwiązanie takie musi być świadome chronionych usług oraz ich priorytetów. Konfiguracja urządzenia powinna dać mu szansę dostosowania polityki do priorytetów biznesowych organizacji. Każdy zasób jest wyczerpywalny, dlatego rozwiązanie ochronne powinno być skalowalne. Rozwiązanie FortiDDoS wykonuje sprzętowo funkcje ochrony przez atakami DDoS, stosując analizę we wszystkich warstwach. Korelacja ruchu produkcyjnego z wzorcem Inżynier Fortinet „legalnego” ruchu, analiza anomalii protokołów, wykrywanie ataków w warstwie aplikacji pozwalają na zabezpieczenie sieci organizacji w czasie rzeczywistym. Rdzeniem FortiDDoS jest FortiAsic-Traffic Processor ( TP ), który zapewnia partycjonowanie (wirtualizację) rozwiązania oraz sprzętową analizę ruchu. Co więcej, pozwala on na zliczanie ruchu oraz prób nawiązywanych połączeń od warstwy sieciowej poprzez transpor tową do warstwy aplikacji, stosuje metody Biuletyn Informacyjny SOLIDEX® 41 ROZWIĄZANIA Catalyst 3850 – nowa seria przełączników dostępowych Cisco Dotychczasowa strategia projektowania sieci opierała się zazwyczaj na osobnym podejściu dla sieci przewodowych oraz bezprzewodowych. Intensywny rozwój technologii mobilnych spowodował przejście w stronę koncepcji, która ma na celu połączenie obu tych sieci w jedno rozwiązanie. Pomysł ten realizowany jest przez firmę Cisco w ramach rozwiązania Cisco Converged Access, które pozwala przede wszystkim na osiągnięcie większej przepustowości w sieciach bezprzewodowych oraz na ujednolicenie polityk bezpieczeństwa i jakości usług. Jednym z pierwszych produktów należących do Cisco Converged Access jest rodzina przełączników Cisco Catalyst 3850, które są następcą popularnych 3750-X. Seria Catalyst 3850 to stackowalne pr ze ł ąc znik i dost ę powe nowej generacji które umożliwiają obsługę sieci przewodowej oraz bezprzewodowej na jednej platformie. Opierają się one o nowy układ Cisco ASIC-UADP (Unfied Access Data Plane) pozwalający na przetwarzanie ruchu z obu tych sieci, przy jednoczesnym zachowaniu wysokiej wydajności i skalowalności. Switche wyposażone zostały we wbudowany kontroler WL AN, który zapewnia wydajność do 40G dla modeli 48 portowych oraz wspiera do 50 access point’ów i 2000 klientów. Przełączniki te mogą posiadać 24 lub 48 portów Ethernet 10/100/1000 oraz występować w wersji PoE+. 42 Rys.1. Cisco Catalyst 3850 Integrujemy przyszłość® Numer: III/2013 (124) WS-C3850-24T Total 10/100/1000 Ethernet Ports 24 WS-C3850-48T 48 Models WS-C3850-24P 24 PoE+ WS-C3850-48P 48 PoE+ WS-C3850-48F 48 PoE+ Default AC Power Supply 350WAC Available PoE Power - 715WAC 435W 1100WAC 800W StackPower Yes Tabela 1. Poszczególne konfiguracje switchy 3850 Tabela 1 przedstawia dostępne konfiguracje modeli przełączników z serii 3850. Standardowa konfiguracja nie zawiera uplinków sieciowych. Do każdego urządzenia można doinstalować wybrane moduły sieciowe z portami uplink. Istnieją trzy różne moduły sieciowe, w które można wyposażyć przełącznik: • 4 portowy Gigabit Ethernet SFP, • 2 portowy 10 Gigabit Ethernet SFP+, • 4 portowy 10 Gigabit Ethernet SFP+ (tylko dla modeli 48 portowych). Interfejsy SFP+ wspierają zarówno wkładki optyczne 10 Gigabit Ethernet, jak i Gigabit Ethernet. Tabela 2 przedstawia wszystkie możliwe kombinacje wykorzystania portów dla poszczególnych modułów sieciowych. Tak jak w przypadku innych przełączników, Cisco Catalyst 3850 wyróżnia trzy typy licencji: Network Module • IP Base—zapewnia funkcjonalności drugiej warstwy oraz podstawowe funkcje warstwy trzeciej. Do najważniejszych można zaliczyć : listy kont r oli dos t ę pu , opc je Qo S , routing statyczny, EIGRP, PIM, RIP, podstawowy IPv6 oraz wsparcie dla bezprzewodowego kontrolera sieci WLAN; • IP Services —najbardziej rozszerzona wersja licencji. Zapewnia bogaty zestaw inteligentnych usług oraz pełne wsparcie dla IPv6. Licencja zawiera wszystkie funkcjonalności IP Base oraz dodatkowo pełną funkcjonalność warstwy trzeciej (IP unicast routing, IP multicast routing oraz fallback bridging ). IP S er vic es uwzglę dnia t ak ie protokoły, jak EIGRP, OSPF oraz wsparcie dla bezprzewodowego kontrolera sieci WLAN. nowymi cechami w porównaniu do ich poprzedników. W dalszej części zostały przedstawione najważniejsze funkcjonalności. Architektura Converged Access Przede wszystkim zwraca uwagę nowa a r c hit ek t ur a C onver ge d Access. Umożliwia ona połączenie funkcji przełącznika oraz kontrolera WLAN w jednym urządzeniu. Bezpośrednim powodem wprowadzenia tego rozwiązania jest znaczący wzrost r uchu w sieciach W L A N, k tór y niejednokrotnie nie był widoczny dla mechanizmów QoS. Standardowy kontroler siec i W L A N pozwala na przydzielanie kanałów radiowych (RR M). Odpowiada za poziomy sygnałów, wykrywanie niebezpieczeństw ( WiP S) oraz za analizo- Interface Options 10 Gigabit Ethernet SFP+ Ports Gigabit Ethernet SFP Ports 4 x Gigabit Ethernet 0 4 4 x Gigabit Ethernet/2 x10 Gigabit Ethernet network modules 2 0 0 4 1 2 4 0 0 4 4 x Gigabit Ethernet/4 x10 Gigabit Ethernet network modules 2 2 3 1 1 3 Tabela 2. Konfiguracje modułów sieciowych switchy 3850 • LAN Base—zapewnia podstawowe funkcje warstwy drugiej, włącznie z listami kontroli dostępu ACL i op c j ą Q o S or a z wsp a r c iem do 255 VLANów; Nowe funkcje w switchach 3850 Przełączniki Cisco Catalyst 3850 charak ter yzują się wieloma Biuletyn Informacyjny SOLIDEX® wanie obcych punktów dostępowych i proces roamingu. Funkcjonalności te można podzielić na dwa obszary zastosowania: Mobility Agent oraz Mobility Controller. Przełączniki 43 ROZWIĄZANIA Cisco Catalyst 3850 mogą działać jako bezprzewodowy kontroler w obu tych trybach: • Mobili t y A ge nt ( M A ) – je s t t o d o my ś lny t r yb d la C i s c o Catalyst 3850. Przełącznik w tym trybie jest zdolny do terminacji t u n e l ó w C A P WA P z A c c e s s Point ’ów oraz do zapewnienia łączności z klientami bezprzewo- Dla małych rozwiązań (do 50 punktów dostępowych oraz czterech przełączników w stosie) switche mogą pracować w obu trybach MA oraz MC. Bardziej rozbudowana infrastruktura wymaga rozdzielenia tych funkcjonalności i wówczas na kontrolerze pozostają funkcje MC, a na switcha 3850 można przenieść funkcjonalności MA. Zastosowanie takiego podejścia Flexible NetFlow (FNF) Flexible NetFlow pozwala na identyfikowanie ruchu w sieci w celu wykrywania potencjalnych zagrożeń i podejmowania działań naprawc z ych w war stwie dost ę powej. FNF monitoruje każdy przepływ w stosie przełączników dla użytkowników przewodowych i bezprzewodowych oraz pomaga egzekwować o dp owie dni ą p oli t yk ę r e z e r w przepustowości. Rozwiązanie FNF pojawia się pierwszy raz dla sieci bezprzewodowych. Architektura QoS Rys.2. Mobility Agent (MA) oraz Mobility Controller (MC) dowymi. Umożliwia on również zarządzanie bazą klientów oraz eg zekwowanie polityk bezpieczeństwa i QoS. • Mobility Controller (MC) – w tym trybie przełącznik Cisco Catalyst 3850 może wykonywać wszystkie zadania związane z takimi funkcjonalnościami, jak roaming, RRM, WIPS oraz zarządzanie spektrum. MC może zostać włączony poprzez wiersz poleceń przełącznika. 44 pozwala na uproszczenie polityk bezpieczeństwa, QoS czy diagnostyki i monitoringu sieci. Powoduje również wzrost przepustowości dla sieci bezprzewodowej, ponieważ całkowita skalowalność znacząco rośnie. Do zalet można zalic zyć również to, że zachowany zostaje dodatkowy punkt do zarządzania na kontrolerze, gdyż switche 3850 przejmują część funkcji związanych z sieciami bezprzewodowymi. Integrujemy przyszłość® Przełączniki Cisco Catalyst 3850 posiadają zaawansowane funkcjonalności QoS, które wynikają z zastosowania architektury Converged Access. Urządzenia wspierają interfejs MQC (Modular QoS Command line interface). Do nowych cech jakimi odznacza się funkcja QoS switchy 3850 można zaliczyć: • Hierarchiczne zarządzanie pasmem (HBM); • Mechanizm AFD (Approximate Fair Drop) – pozwala na równomierny podział pasma w bezprzewodowej sieci pomiędzy wszystkich użytkowników; • Tworzenie wspólnych polityk dla użytkowników oraz sieci SSID. Przełączniki serii 3850 mogą realizować CoS (class of service) oraz DSCP (differentiated services code point), które oparte są na kolejkowaniu, nadzorowaniu, kształtowaniu i znakowaniu przewodowego i bezprzewodowego ruchu sieciowego. Umożliwia to tworzenie wspólnych polityk dla przewodowych i bezprzewodowych sieci. Przełączniki 3850 obsługują także polityki powiązane z ISE. Bezpieczeństwo Przełączniki Cisco Catalyst 3850 udostępniają bogaty zestaw funkcji bezpieczeństwa dla użytkowników przewodowych oraz bezprzewo dowych. Funkcjonalności takie jak IEEE 802.1x, DHCP, IP Source Guard, ochrona warstwy sterowania czy bezprzewodowy system zapobiegania włamaniom WIPSs (Wireless Int r u sion P r event ion S ys t em) Numer: III/2013 (124) pozwalają na ochronę przed nieautoryzowanym dostępem i zagrożeniami. Switche 3850 mają możliwość obsługi różnorodnych sesji rozpoznając użytkowników przewodowych i bezprzewodowych łączących się z siecią. Każde urządzenie podłączone do sieci identyfikowane jest jako jedna sesja, a unikalne listy kontroli dostępu ACL oraz polityki QoS mogą być zdefiniowane poprzez zastosowanie ISE dla każdej z tych sesji. Zapewnia to lepszą kontrolę podłączonego sprzętu. Technologia StackWise-480 Technologia Cisco StackWise-480 t o roz wią z anie , k t óre poz wala na łączenie przełączników w stos. Do głównych zmian w porównaniu z wcześniejszymi wersjami można przede wszystkim zaliczyć większą przepustowość stosu, która w tym przypadku wynosi 480 Gbps. Inna jest również koncepcja działania stosu oraz tryb jego pracy. W switchach 3850 zrezygnowano z trybu hybrid control-plane processing, który był charakterystyczny dla przełączników 3750-X. Zamiast tego zastosowano architekturę NSF/SSO opierającą się na modelu redundancji 1+1. Polega ona na wyznaczeniu jednego aktywnego switcha zarządzającego (najwyższy priorytet lub najniższy adres MAC) oraz drugiego będącego jego następcą. Zadaniem przełącznika zarządzającego jest ustawianie płaszczyzny data plane na pozostałych urządzeniach w stosie, co pozwala na jednolity transport pakietów poprzez sieć oraz obsługę ruchu sieciowego. W przypadku awarii lub odłączenia przełącznika zarządzającego możliwa jest szybka zamiana kontroli dzięki synchronizacji informacji (np. o tablicach routingu, adresach MAC, warstwie kontrolnej dla WL AN, tablicach FIB). Rozwiązanie StackWise-480 odznacza się dużą niezawodnością działania, która do tej pory kojarzona była głównie z roz wią z aniami modular nymi. Switche w stosie mogą być dołączane lub rozdzielane bez przerywania pracy. Rys.3. StackWise-480 oraz Cisco StackPower system, który pozwala na udostępnianie zasilaczy znajdujących się w st osie w post ac i wspólnego zasobu dla wszystkich switchy. Cisco StackPower łączy wszystkie zainstalowane zasilacze, tworząc pulę energii, która jest kierowana tam gdzie aktualnie jest to potrzebne. Rozwiązanie umożliwia skonfigurowanie do czterech przełączników 3850 w stosie, połączonych za pomocą specjalnego złącza z tyłu switchy. StackPower mogą być wdrażane w dwóch trybach: • t r yb podz ia ł u moc y – moc wszystkich zasilaczy jest gromadzona i rozprowadzana między wszystkimi przełącznikami 3850 będących w stosie; • tryb redundancji – przeliczany jest całkowity budżet mocy w stosie przełączników bez uwzględniania mocy zasilacza o najwyższej wydajności. Znajduje się ona w rezerwie i je s t u ż ywana w momenc ie awar ii jednego z z asilac z y . Po takim zdarzeniu Cisco StackPower przechodzi w tryb podziału mocy. Widać wyraźnie, że wykorzystanie Cisco StackPower eliminuje potrzebę Cisco StackPower z e wn ę t r z ne go r e dun da n t ne go zasilania lub instalacji podwójnych Kolejna nowa technologia wprowa- zasilaczy dla każdego przełącznika dzona do przełączników 3850 to Cisco pracującego w stosie. StackPower. Jest to innowacyjny Biuletyn Informacyjny SOLIDEX® Podsumowanie Przełączniki Cisco Catalyst 3850 to urządzenia nowej generacji, które ofer ują prostot ę , operac yjno ś ć , skalowalność oraz dużą wydajność w dostępowej warstwie sieci. Rozwiązanie to dostarcza zintegrowanych, inteligentnych usług w sieciach przewodowych i bezprzewodowych. Umożliwia stosowanie wydajniejszych polityk, bezpieczeństwa oraz lepszą elastyczność i widoczność aplikacji. Opracowano na podstawie oficjalnych materiałów producenta. Ł.H. Inżynier SOLIDEX 45 Warsztaty Check Point Next - Generation Firewall R75 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami - IPS, Content Security, Integracja z ActiveDirectory - budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.solidex.com.pl/oferta/warsztaty Integrujemy przyszłość® Autoryzowane Szkolenia Cisco Systems Program SOLIDEX ® ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 CCNAX Interconnecting Cisco Networking Devices: Accelerated ROUTE Implementing Cisco IP Routing SWITCH TSHOOT Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks BGP MPLS QOS IINS SECURE FIREWALL VPN Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Securing Networks with Cisco Routers and Switches v1.0 Deploying Cisco ASA Firewall Features Deploying Cisco ASA VPN Solutions CIPT1 Implementing Cisco Unified Communications Manager Part 1 v8.0 CIPT2 Implementing Cisco Unified Communications Manager Part 2 v8.0 CWLMS IP6FD Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment IUWNE Implementing Cisco Unified Wireless Networking Essentials DESGN Designing for Cisco Internetwork Solutions ARCH Designing Cisco Network Service Architectures Infolinia: 800 49 55 82 Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 Kraków www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl
Podobne dokumenty
Integrator Nr IV/2010 (113)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX®
Bardziej szczegółowo