Multi Domain Server (MDS) umo¿liwia instalację wielu stacji
Transkrypt
Multi Domain Server (MDS) umo¿liwia instalację wielu stacji
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Techniczne aspekty funkcjonowania Check Point Provider-1/SiteManager-1 NG Check Point Provider-1 to centralny system zarządzania zabezpieczeń dedykowany dla dostawców usług bezpieczeństwa oraz dużych korporacji. Check Point SiteManager-1 stanowi jego uproszczoną wersję dedykowaną dla mniejszych instalacji. System umożliwia sprawne zarządzanie wielu tysięcy modułów zabezpieczeń VPN-1/FireWall-1. Provider-1 rozszerza funkcjonalność standardowej stacji Check Point Management Server o możliwości administrowania na jednaj stacji zarządzającej wielu polityk bezpieczeństwa, dedykowanych dla różnych systemów i klientów. Provider-1 jest kompatybilny ze wszystkimi modułami kontrolnymi Check Point (m.in. VPN-1/FireWall-1, FloodGate-1, ClusterXL). Podstawowym komponentem Provider-1 jest serwer Multi Domain Server (MDS). Umożliwia on instalację na jednej platformie sprzętowej do 500 modułów Customer Management Add-ons (CMA). Pojedynczy moduł CMA służy do zarządzania jednej polityki bezpieczeństwa określonego klienta. Jeden serwer MDS może, więc zarządzać do 500 polityk bezpieczeństwa. Środowisko Provider-1 może składać się z wielu serwerów MDS i dzięki temu zarządzać nawet wieloma tysiącami polityk bezpieczeństwa. Polityka bezpieczeństwa CMA może dotyczyć wielu modułów zabezpieczeń VPN-1/FireWall-1. Każdy moduł CMA posiada indywidualne reguły polityki bezpieczeństwa, dedykowaną bazę użytkowników, bazę obiektów sieciowych oraz pliki logów. Moduły CMA są odizolowane od siebie. Rysunek 1 przedstawia architekturę systemu Provider-1. Rys 1) Architektura systemu zarządzania Provider-1 W dużych instalacjach w celu zmniejszenia obciążenia serwera MDS można na dedykowanym komputerze zainstalować moduł Multi-domain Log Module (MLM). Jest to dedykowany serwer logów, który przejmuje od MDS zadania obsługi zdarzeń rejestrowanych w systemach zabezpieczeń VPN-1/FireWall-1. Istnieje możliwość wdrożenia dwóch serwerów logów MLM, tak aby zabezpieczyć je przed awariami. W razie potrzeby można także w sieci klienta wdrożyć serwer logów Customer Log Module (CLM), przeznaczony do obsługi zdarzeń rejestrowanych w systemie zabezpieczeń tego klienta. CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Techniczne aspekty funkcjonowania Check Point Provider-1/SiteManager-1 NG Konsola zarządzająca Multi Domain GUI (MDG) służąca do zarządzania MDS zawiera narzędzia standardowej konsoli Check Point Management GUI (m.in. edytor Policy Editor) rozszerzone o elementy monitorowania i zarządzania specyficzne dla Provider-1 /SiteManager-1. Podstawowym elementem odróżniającym MDG od standardowej konsoli zarządzającej jest możliwość definiowana globalnych polityk bezpieczeństwa (Global Policy), które zawierają reguły obowiązujące w wielu indywidualnych politykach bezpieczeństwa klientów. MDG posiada także bardziej rozbudowane możliwości ustalania uprawnień dla poszczególnych administratorów systemu. Administratorzy mogą uwierzytelniać swoją tożsamość za pomocą haseł statycznych VPN-1 & FireWall-1 Password i OS Password, tokenów SecureID oraz certyfikatów cyfrowych. Zarządzanie serwera MDS może odbywać się z wielu konsol MDG w tym samym czasie. W razie gdy dwóch administratorów dokonuje modyfikacji tej samej części konfiguracji Provider-1 zachowana zostanie ostatnio dokonana zmiana. Rysunek 2 przedstawia interfejs graficzny konsoli MDG. Dzięki dostępnej w NG konsoli SecureUpdate można centralnie zarządzać oprogramowaniem i licencjami klientów (m.in. instalować poprawki i nowe wersje oprogramowania). Rys 2) Konsola zarządzania systemu Provider-1 Provider-1 może zarządzać modułami CMA każdego typu (m.in. VPN-1/Firewall-1 Gateway Cluster, Unlimited Gateway). SiteManager-1 może zarządzać tylko dedykowanymi dla siebie modułami CMA tzn. SmallOffice oraz VPN-1/FireWall-1 25-250IP. SiteManager-1 zainstalowany na jednym komputerze może zarządzać do 200 modułów CMA. Z kolei jeden moduł SiteManager-1 CMA może utrzymywać politykę bezpieczeństwa dla maks. dwóch modułów Firewall. Wiele serwerów MDS możne zostać połączone w jednej instalacji SiteManeger-1, co pozwala na zarządzanie nawet wielu tysięcy polityk bezpieczeństwa. © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2 Techniczne aspekty funkcjonowania Check Point Provider-1/SiteManager-1 NG Provider-1/SiteManager-1 posiada możliwości budowania systemów odpornych na awarie sprzętowe i programowe High Availability (HA). Koncepcja konfiguracji HA przedstawiona jest na rysunku 3. Mechanizmy ochrony Provider-1/SiteManager-1 przed awariami są dostępne dla modułów MDS i CMA: • moduły MDS Manager zainstalowane na różnych maszynach mogą funkcjonować w tym samym czasie i regularnie synchronizować swoje bazy danych, • każdy klient może mieć przydzielone dwa moduły CMA zdefiniowane na różnych serwerach MDS, które regularnie synchronizują swoje bazy danych. Rys 3) Ochrona Provider-1 przed awariami Komunikacja pomiędzy modułami Provider-1/SiteManager-1 odbywa się za pomocą protokołu Check Point Management Interface (CPMI). Protokół CPMI służy także do synchronizacji serwerów MDS funkcjonujących w konfiguracji odpornej na awarie HA. Rys 4) Komunikacja w systemie Provider-1 Występują dwa rodzaje serwerów MDS: • MDS Container – utrzymuje i zarządza modułami CMA (m.in. odpowiada za ładowanie do CMA polityk Global Policies), • MDS Manager – wykonuje zadania MDS Container oraz dodatkowo odpowiada za komunikację ze środowiskiem Provider-1 (m.in. logowanie z konsoli MDG), kontrolowanie współdziałania pomiędzy MDG i modułami MDS Container, zadania urzędu certyfikacji MDS Certificate Authority oraz zadania ochrony przed awariami z innymi MDS Managers (synchronizacja baz danych). © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3 Techniczne aspekty funkcjonowania Check Point Provider-1/SiteManager-1 NG Konfiguracja HA dla dużych implementacji Provider-1 może zostać wdrożona z użyciem dwóch serwerów MDS Manager. Pozostałe serwery mogą posiadać jedynie funkcjonalność MDS Container (patrz rysunek 5). Mechanizmy ochrony przed awariami dostępne w systemie Provider-1 dla modułów MDS i CMA nie wymagają zakupu dodatkowego oprogramowania HA. Rys 5) Przykładowa implementacja Provider-1 w konfiguracji odpornej na awarie Wymagania systemowe: Multi Domain Server (MDS) • Sun ULTRA SPARC • Solaris 7 (32 bit), Solaris 8 (32 bit, 64 bit) • HDD 120 MB + 50 MB na każdego klienta • RAM 256 MB + 40 MB na każdego klienta Multi Domain GUI (MDG) • Sun ULTRA SPARC, Intel Pentium 600 MHz • Solaris 7, Solaris 8 (32-bit), Windows NT, Windows 2000, Windows XP • HDD 100 MB • RAM 256 MB © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4