white paper

© Vladitto / Fotolia.com
WHITE PAPER
Bezpieczeństwo
przede wszystkim
© Serg Nvns / Fotolia.com
Bezpieczne sieci w budynkach oparte na
zdecentralizowanych rozwiązaniach infrastrukturalnych
Nie ma wątpliwości, że infrastruktura informatyczna
musi działać w sposób bezpieczny i niezawodny — jest
przecież fundamentem, na którym bazują liczne procesy
biznesowe, a tym samym również sukces przedsiębiorstwa. Tak jak w przypadku samego budynku, również
tutaj problemy na poziomie fundamentu przenoszą się
na całą konstrukcję.
Użytkownicy zwracają uwagę na niezawodność i wydajność swoich sieci, często nie przykładają jednak
odpowiedniej wagi do bezpieczeństwa. Trendy takie
jak BYOD (Bring Your Own Device - czyli korzystanie z
urządzeń prywatnych do celów służbowych), rosnąca
liczba urządzeń mobilnych, które trzeba podłączyć do
sieci oraz coraz bardziej wyrafinowane ataki na sieci
przedsiębiorstw, wymagają wyższego poziomu bezpieczeństwa niż kiedykolwiek dotąd.
Jednocześnie w projektach infrastrukturalnych pojawia
się coraz większa presja na obniżanie kosztów. Wszystkie te wymagania optymalnie może spełnić infrastruktura rozproszona obejmująca przełączniki zdecentralizowane.
Sieci wykorzystujące zdecentralizowaną architekturę
przełączników, takie jak środowiska oparte na koncepcji
„Fiber To The Office” (FTTO) firmy MICROSENS, sprawdzają się od dawna w wielu projektach ekonomicznych
sieci w budynkach. Niezależne badania (przeprowadzone m.in. przez firmę WIK-Consult) oraz liczne udane
projekty dowodzą finansowych korzyści płynących z
takiego rozwiązania. Ta zdecentralizowana koncepcja
nie ogranicza się przy tym do łączy światłowodowych
— jej wyjątkowe zalety można też w pełni wydobyć
przy zastosowaniu okablowania miedzianego. Niezależnie od rodzaju medium transmisyjnego łącza sięgają
aż do obszaru działania użytkowników (z pominięciem
PPD – pośrednich punktów dystrybucyjnych), w którym
przełączniki instalacyjne funkcjonują jako elementy aktywne i udostępniają porty miedziane do podłączania
urządzeń końcowych, takich jak komputery PC, telefony VoIP, drukarki, laptopy, punkty dostępowe do sieci
WLAN czy kamery IP.
Bezpieczeństwo przede wszystkim
MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław
1
Zdecentralizowane przełączniki oferują wiele
korzyści
Najnowsza generacja zdecentralizowanych mikroprzełączni-
gdzie są potrzebne, czyli wśród użytkowników.
ków instalacyjnych wyposażona została w szeroką gamę funk-
Warto wspomnieć o jeszcze jednej korzyści: model okablowania
cji, które były dotychczas zastrzeżone dla przełączników rdze-
ze zdecentralizowanymi przełącznikami umożliwia stosowanie
niowych. Za pośrednictwem bezpiecznych protokołów (takich
znacznie mniejszych wiązek kabli, co w przypadku renowacji
jak SNMP V3 czy HTTPS) w przełącznikach można edytować
starszych budynków ma sporą wagę. Mniejsze wiązki kabli oz-
wszystkie opcje konfiguracji. Pełna implementacja protokołu
naczają mniejsze obciążenie ogniowe, co z kolei zwiększa bez-
IPv6 jest ważnym czynnikiem pozwalającym tworzyć sieci go-
pieczeństwo i obniża koszty. Istniejące sieci miedziane można
towe na przyszłość.
przy tym szybko rozbudować bez kosztownego okablowania
Model zdecentralizowany oferuje jednak znacznie więcej korzy-
dodatkowego — nie trzeba wprowadzać nowych kabli, aby
ści. Dzięki jego ukierunkowanej na użytkowników strukturze
zadbać o zgodność sieci z najnowszymi wymaganiami.
inteligentne mikroprzełączniki instalacyjne znajdują się tam,
Bezpieczeństwo dostępu
Zabezpieczenie na wypadek awarii
Uwierzytelnianie użytkowników na poziomie mikroprzełączni-
Przez kaskadowe połączenie mikroprzełączników instalacyj-
ków instalacyjnych w miejscu pracy sprawia, że użytkownik nie-
nych można zapewnić dodatkową redundancję systemu. Wys-
posiadający odpowiednich uprawnień nie wejdzie do sieci. Pełna
tarczy przy tym połączyć przełączniki ze sobą światłowodami
zgodność ze standardem IEEE 802.1X wykracza jednak daleko
lub kablami miedzianymi — w najprostszym przypadku ka-
ponad wymagania normy i oferuje kompleksowe bezpieczeń-
blem krosowym.
stwo na poziomie portów. Gdy urządzenie końcowe zgłasza się
Jeszcze większą redundancję można osiągnąć dzięki funkcji
w mikroprzełączniku, wysyła on zapytanie do serwera RADIUS
Dual Homing, która pozwala połączyć każdy mikroprzełącznik
i w zależności od odpowiedzi tego serwera podejmuje odpo-
za pomocą dwóch łączy z jednym lub dwoma przełącznikami
wiednią decyzję. Użytkownik otrzymuje wtedy dostęp do bez-
rdzeniowymi. Protokół Rapid Spanning Tree (RSTP) dba przy
piecznej sieci VLAN lub jest blokowany bezpośrednio na pozio-
tym o bezpieczną pracę i minimalne czasy przełączania, na wy-
mie połączenia stanowiska pracy.
padek gdyby łącze główne uległo awarii.
Nowoczesne środowiska biurowe, w których korzysta się z
technologii Voice over IP (VoIP), wymagają jednak więcej. Gdy
użytkownik podłącza do sieci swój komputer PC lub laptopa za
pośrednictwem telefonu VoIP, w przypadku zwykłych przełączni-
Serwery aplikacji
ków może to spowodować problemy z bezpieczeństwem, poSerwer
aplikacji
nieważ uwierzytelniony telefon jest wyposażony w port sieciowy, który nie został uwierzytelniony przez przełącznik. Dzięki
oferowanej przez MICROSENS funkcji uwierzytelniania wielu użytkowników przełącznik może rozróżniać poszczególne
urządzenia: telefon VoIP może zostać uwierzytelniony w bezpieczny, chroniony przed manipulacją sposób przez certyfikat
maszyny, a podłączony do niego laptop lub komputer roboczy
VoIP
PABX
Serwer NMP
Serwer RADIUS
Serwer DHCP
Sieć centralna
+ Zarządzanie
+ Kontrola dostępu
Sieć centralna
Pasywna infrastruktura
optyczna
— poprzez adres MAC. W zależności od konfiguracji przełącznika inne urządzenia są blokowane. Gdy w przełączniku zgłosi się
nieupoważnione urządzenie końcowe, sieć VLAN przechodzi na
Mikroprzełączniki
tryb gościa lub kwarantanny zamiast kompletnego blokowania
portu przełącznika. Dzięki temu uwierzytelnione już urządzenia
końcowe podłączone do telefonu IP, a także sam telefon pozo-
Obszar użytkownika
końcowego
stają dalej w sieci i zachowują pełną funkcjonalność. Uwierzytel-
Telefon VoIP
nianiem za pomocą serwera RADIUS można też objąć dostęp do
zarządzania przełącznikiem, co oferuje większe bezpieczeństwo.
Komputer
Punkt dostępowy
WLAN
Laptop
Jeśli komuś zależy na prostszych rozwiązaniach, może ograniczyć dostęp do jednego adresu MAC na port. Stałe przypisanie
każdego portu przełącznika do określonego urządzenia końcowego zapewnia dodatkową ochronę. Inne urządzenia są wtedy
Sieć o zdecentralizowanej architekturze przełączników i z centralną
kontrolą dostępu do sieci.
odrzucane, co pozwala łatwo i skutecznie zapobiegać nieuprawnionemu wejściu do sieci przez kaskadowanie. Korzystanie z
serwera RADIUS nie jest tu konieczne.
Bezpieczeństwo przede wszystkim
MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław
2
Skuteczna ochrona przed kradzieżą dzięki
funkcji Disconnect Monitor
Po prostu bezpieczniej
Funkcja Disconnect Monitor w mikroprzełącznikach instala-
Niezależnie od tego, czy chodzi o okablowanie światłowodowe,
cyjnych wykrywa usunięcie podłączonych do nich urządzeń
czy miedziane — sieci wykorzystujące zdecentralizowaną ar-
końcowych. Przez cykliczny pomiar impedancji połączenia za
chitekturę przełączników instalacyjnych oferują liczne korzyści.
pośrednictwem skrętki przełącznik nieprzerwanie sprawdza,
Niskie koszty okablowania i łatwe możliwości rozbudowy ist-
czy urządzenie końcowe jest podłączone fizycznie — nawet
niejących sieci bez konieczności przerywania ich pracy zapew-
wtedy, gdy jest ono wyłączone. Pozwala to niezawodnie wy-
niają atrakcyjne koszty instalacji i eksploatacji.
kryć np. kradzież urządzenia wyłączonego na noc i wygenero-
Mikroprzełączniki stosowane w środowisku pracy udostępniają
wać natychmiastowy alarm. Zwykłe przełączniki potrafią wy-
wszelkie zabezpieczenia i funkcje do zarządzania, które dotych-
kryć podłączone urządzenia końcowe tylko przez status łącza.
czas były zastrzeżone dla przełączników rdzeniowych. Dzięki
Nie można wtedy stwierdzić usunięcia urządzenia końcowego,
monitorowanym, kontrolowanym urządzeniom zainstalowa-
jeśli jest ono wyłączone.
nym w pobliżu użytkowników można blokować próby nieu-
Komunikaty alarmowe funkcji Disconnect Monitor mogą
prawnionego dostępu, jeszcze zanim dojdzie do połączenia z
być rejestrowane jako trapy SNMP lub komunikaty Syslog, a
siecią. Przyszłościowe funkcje, takie jak Disconnect Monitor,
następnie przekazywane dalej za pośrednictwem odpowied-
potrafią stwierdzić usunięcie urządzenia końcowego nawet
niej usługi zewnętrznej, takiej jak wiadomości SMS lub poczta
wtedy, gdy jest ono wyłączone. Możliwość łatwego kaskado-
elektroniczna. Administrator i ochrona mogą dzięki temu ła-
wania i funkcja Dual Homing dbają o lepszą ochronę przed
two, szybko i niezawodnie otrzymywać niezbędne informacje.
awariami przy minimalnym nakładzie pracy.
Jak dowodzą badania, zdecentralizowane rozwiązania infrastrukturalne oferują nie tylko korzyści techniczne, ale także
ekonomiczne.
Przełącznik GBE MICROSENS monitoruje urządzenia nawet po ich
wyłączeniu, zapewniając skuteczną ochronę przed kradzieżą.
Bezpieczeństwo przede wszystkim
MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław
3