white paper
Transkrypt
white paper
© Vladitto / Fotolia.com WHITE PAPER Bezpieczeństwo przede wszystkim © Serg Nvns / Fotolia.com Bezpieczne sieci w budynkach oparte na zdecentralizowanych rozwiązaniach infrastrukturalnych Nie ma wątpliwości, że infrastruktura informatyczna musi działać w sposób bezpieczny i niezawodny — jest przecież fundamentem, na którym bazują liczne procesy biznesowe, a tym samym również sukces przedsiębiorstwa. Tak jak w przypadku samego budynku, również tutaj problemy na poziomie fundamentu przenoszą się na całą konstrukcję. Użytkownicy zwracają uwagę na niezawodność i wydajność swoich sieci, często nie przykładają jednak odpowiedniej wagi do bezpieczeństwa. Trendy takie jak BYOD (Bring Your Own Device - czyli korzystanie z urządzeń prywatnych do celów służbowych), rosnąca liczba urządzeń mobilnych, które trzeba podłączyć do sieci oraz coraz bardziej wyrafinowane ataki na sieci przedsiębiorstw, wymagają wyższego poziomu bezpieczeństwa niż kiedykolwiek dotąd. Jednocześnie w projektach infrastrukturalnych pojawia się coraz większa presja na obniżanie kosztów. Wszystkie te wymagania optymalnie może spełnić infrastruktura rozproszona obejmująca przełączniki zdecentralizowane. Sieci wykorzystujące zdecentralizowaną architekturę przełączników, takie jak środowiska oparte na koncepcji „Fiber To The Office” (FTTO) firmy MICROSENS, sprawdzają się od dawna w wielu projektach ekonomicznych sieci w budynkach. Niezależne badania (przeprowadzone m.in. przez firmę WIK-Consult) oraz liczne udane projekty dowodzą finansowych korzyści płynących z takiego rozwiązania. Ta zdecentralizowana koncepcja nie ogranicza się przy tym do łączy światłowodowych — jej wyjątkowe zalety można też w pełni wydobyć przy zastosowaniu okablowania miedzianego. Niezależnie od rodzaju medium transmisyjnego łącza sięgają aż do obszaru działania użytkowników (z pominięciem PPD – pośrednich punktów dystrybucyjnych), w którym przełączniki instalacyjne funkcjonują jako elementy aktywne i udostępniają porty miedziane do podłączania urządzeń końcowych, takich jak komputery PC, telefony VoIP, drukarki, laptopy, punkty dostępowe do sieci WLAN czy kamery IP. Bezpieczeństwo przede wszystkim MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław 1 Zdecentralizowane przełączniki oferują wiele korzyści Najnowsza generacja zdecentralizowanych mikroprzełączni- gdzie są potrzebne, czyli wśród użytkowników. ków instalacyjnych wyposażona została w szeroką gamę funk- Warto wspomnieć o jeszcze jednej korzyści: model okablowania cji, które były dotychczas zastrzeżone dla przełączników rdze- ze zdecentralizowanymi przełącznikami umożliwia stosowanie niowych. Za pośrednictwem bezpiecznych protokołów (takich znacznie mniejszych wiązek kabli, co w przypadku renowacji jak SNMP V3 czy HTTPS) w przełącznikach można edytować starszych budynków ma sporą wagę. Mniejsze wiązki kabli oz- wszystkie opcje konfiguracji. Pełna implementacja protokołu naczają mniejsze obciążenie ogniowe, co z kolei zwiększa bez- IPv6 jest ważnym czynnikiem pozwalającym tworzyć sieci go- pieczeństwo i obniża koszty. Istniejące sieci miedziane można towe na przyszłość. przy tym szybko rozbudować bez kosztownego okablowania Model zdecentralizowany oferuje jednak znacznie więcej korzy- dodatkowego — nie trzeba wprowadzać nowych kabli, aby ści. Dzięki jego ukierunkowanej na użytkowników strukturze zadbać o zgodność sieci z najnowszymi wymaganiami. inteligentne mikroprzełączniki instalacyjne znajdują się tam, Bezpieczeństwo dostępu Zabezpieczenie na wypadek awarii Uwierzytelnianie użytkowników na poziomie mikroprzełączni- Przez kaskadowe połączenie mikroprzełączników instalacyj- ków instalacyjnych w miejscu pracy sprawia, że użytkownik nie- nych można zapewnić dodatkową redundancję systemu. Wys- posiadający odpowiednich uprawnień nie wejdzie do sieci. Pełna tarczy przy tym połączyć przełączniki ze sobą światłowodami zgodność ze standardem IEEE 802.1X wykracza jednak daleko lub kablami miedzianymi — w najprostszym przypadku ka- ponad wymagania normy i oferuje kompleksowe bezpieczeń- blem krosowym. stwo na poziomie portów. Gdy urządzenie końcowe zgłasza się Jeszcze większą redundancję można osiągnąć dzięki funkcji w mikroprzełączniku, wysyła on zapytanie do serwera RADIUS Dual Homing, która pozwala połączyć każdy mikroprzełącznik i w zależności od odpowiedzi tego serwera podejmuje odpo- za pomocą dwóch łączy z jednym lub dwoma przełącznikami wiednią decyzję. Użytkownik otrzymuje wtedy dostęp do bez- rdzeniowymi. Protokół Rapid Spanning Tree (RSTP) dba przy piecznej sieci VLAN lub jest blokowany bezpośrednio na pozio- tym o bezpieczną pracę i minimalne czasy przełączania, na wy- mie połączenia stanowiska pracy. padek gdyby łącze główne uległo awarii. Nowoczesne środowiska biurowe, w których korzysta się z technologii Voice over IP (VoIP), wymagają jednak więcej. Gdy użytkownik podłącza do sieci swój komputer PC lub laptopa za pośrednictwem telefonu VoIP, w przypadku zwykłych przełączni- Serwery aplikacji ków może to spowodować problemy z bezpieczeństwem, poSerwer aplikacji nieważ uwierzytelniony telefon jest wyposażony w port sieciowy, który nie został uwierzytelniony przez przełącznik. Dzięki oferowanej przez MICROSENS funkcji uwierzytelniania wielu użytkowników przełącznik może rozróżniać poszczególne urządzenia: telefon VoIP może zostać uwierzytelniony w bezpieczny, chroniony przed manipulacją sposób przez certyfikat maszyny, a podłączony do niego laptop lub komputer roboczy VoIP PABX Serwer NMP Serwer RADIUS Serwer DHCP Sieć centralna + Zarządzanie + Kontrola dostępu Sieć centralna Pasywna infrastruktura optyczna — poprzez adres MAC. W zależności od konfiguracji przełącznika inne urządzenia są blokowane. Gdy w przełączniku zgłosi się nieupoważnione urządzenie końcowe, sieć VLAN przechodzi na Mikroprzełączniki tryb gościa lub kwarantanny zamiast kompletnego blokowania portu przełącznika. Dzięki temu uwierzytelnione już urządzenia końcowe podłączone do telefonu IP, a także sam telefon pozo- Obszar użytkownika końcowego stają dalej w sieci i zachowują pełną funkcjonalność. Uwierzytel- Telefon VoIP nianiem za pomocą serwera RADIUS można też objąć dostęp do zarządzania przełącznikiem, co oferuje większe bezpieczeństwo. Komputer Punkt dostępowy WLAN Laptop Jeśli komuś zależy na prostszych rozwiązaniach, może ograniczyć dostęp do jednego adresu MAC na port. Stałe przypisanie każdego portu przełącznika do określonego urządzenia końcowego zapewnia dodatkową ochronę. Inne urządzenia są wtedy Sieć o zdecentralizowanej architekturze przełączników i z centralną kontrolą dostępu do sieci. odrzucane, co pozwala łatwo i skutecznie zapobiegać nieuprawnionemu wejściu do sieci przez kaskadowanie. Korzystanie z serwera RADIUS nie jest tu konieczne. Bezpieczeństwo przede wszystkim MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław 2 Skuteczna ochrona przed kradzieżą dzięki funkcji Disconnect Monitor Po prostu bezpieczniej Funkcja Disconnect Monitor w mikroprzełącznikach instala- Niezależnie od tego, czy chodzi o okablowanie światłowodowe, cyjnych wykrywa usunięcie podłączonych do nich urządzeń czy miedziane — sieci wykorzystujące zdecentralizowaną ar- końcowych. Przez cykliczny pomiar impedancji połączenia za chitekturę przełączników instalacyjnych oferują liczne korzyści. pośrednictwem skrętki przełącznik nieprzerwanie sprawdza, Niskie koszty okablowania i łatwe możliwości rozbudowy ist- czy urządzenie końcowe jest podłączone fizycznie — nawet niejących sieci bez konieczności przerywania ich pracy zapew- wtedy, gdy jest ono wyłączone. Pozwala to niezawodnie wy- niają atrakcyjne koszty instalacji i eksploatacji. kryć np. kradzież urządzenia wyłączonego na noc i wygenero- Mikroprzełączniki stosowane w środowisku pracy udostępniają wać natychmiastowy alarm. Zwykłe przełączniki potrafią wy- wszelkie zabezpieczenia i funkcje do zarządzania, które dotych- kryć podłączone urządzenia końcowe tylko przez status łącza. czas były zastrzeżone dla przełączników rdzeniowych. Dzięki Nie można wtedy stwierdzić usunięcia urządzenia końcowego, monitorowanym, kontrolowanym urządzeniom zainstalowa- jeśli jest ono wyłączone. nym w pobliżu użytkowników można blokować próby nieu- Komunikaty alarmowe funkcji Disconnect Monitor mogą prawnionego dostępu, jeszcze zanim dojdzie do połączenia z być rejestrowane jako trapy SNMP lub komunikaty Syslog, a siecią. Przyszłościowe funkcje, takie jak Disconnect Monitor, następnie przekazywane dalej za pośrednictwem odpowied- potrafią stwierdzić usunięcie urządzenia końcowego nawet niej usługi zewnętrznej, takiej jak wiadomości SMS lub poczta wtedy, gdy jest ono wyłączone. Możliwość łatwego kaskado- elektroniczna. Administrator i ochrona mogą dzięki temu ła- wania i funkcja Dual Homing dbają o lepszą ochronę przed two, szybko i niezawodnie otrzymywać niezbędne informacje. awariami przy minimalnym nakładzie pracy. Jak dowodzą badania, zdecentralizowane rozwiązania infrastrukturalne oferują nie tylko korzyści techniczne, ale także ekonomiczne. Przełącznik GBE MICROSENS monitoruje urządzenia nawet po ich wyłączeniu, zapewniając skuteczną ochronę przed kradzieżą. Bezpieczeństwo przede wszystkim MICROSENS Sp. z o.o. - ul. Ślężna 187/s-2 - 53-110 Wrocław 3