kliknąć tu aby pobrać plik
Transkrypt
kliknąć tu aby pobrać plik
Integrujemy przyszłość® ISSN 1233–4944 Biuletyn Informacyjny SOLIDEX® Nr II/2016 (135) W numerze między innymi: WYDARZENIA: SOLIDEX najlepszym Partnerem Handlowym Clico KGHM docenia współpracę z SOLIDEX NOWOŚCI: SDN w wydaniu Vmware NSX TECHNOLOGIE: Digital Vault ® -nowe spojrzenie na bezpieczeństwo ROZWIĄZANIA: RSA Advanced SOC www.integrator.SOLIDEX.com.pl Numer: II/2016 (135) Szanowni Państwo! Z rozpoc zęciem roku szkolnego oddajemy w Państwa ręce najnowszy, jesienny numer Integratora. Minione miesiąc e był y dla nas bardzo owoc ne – wra z z nasz ymi Par tnerami technologic znymi zorganizowaliśmy wiele seminariów tematycznych dla naszych Klientów. Poświęcone były głównie bezpieczeństwu sieci – rozwiązaniom Cisco, Check Point, Intel Security, Fortinet oraz F5 Networks. SOLIDEX udzielał się również charytatywnie - jako jeden ze sponsorów Festiwalu Zaczarowanej Piosenki Fundacji Mimo Wszystko. Więcej informacji dotyczących minionych wydarzeń na stronach 4-8. W nowym Integratorze® znajdziecie Państwo kontynuację artykułu z poprzedniego numeru – ASA z usługami FIREPOWER (str. 35). Polecamy również tekst poświęcony rozwiązaniom telepresence firmy Cisco - Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server (str. 42). Na łamach biuletynu pojawiły się także artykuły na temat zagadnień, o których nie mieliśmy jeszcze okazji pisać -Producentach: Arista Networks (str. 23) oraz CyberArk (str. 31). Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 SOLIDEX najlepszym Partnerem Handlowym Clico 4 KGHM docenia współpracę z SOLIDEX 5 Forum Bezpieczeństwa Banków 5 Bezpieczna sieć we Wrocławiu 6 SOLIDEX nagrodzony przez firmę Check Point 6 Cykl seminariów prezentujących rozwiązania firmy Check Point 7 SOLIDEX Boat Show – zbuduj bezpieczną sieć z SOLIDnymi EXpertami 8 Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX NOWOŚCI 9 Hiperkonwergencja od Cisco -HX Data HyperFlex 13 Nowości w portfolio Juniper Networks 18 SDN w wydaniu Vmware NSX TECHNOLOGIE 23 Arista – producent innowacyjnych rozwiązań 26 Przełączniki Przemysłowe Cisco (Cisco Industrial Ethernet Switch) 31 Digital Vault ® – nowe spojrzenie na bezpieczeństwo ROZWIĄZANIA 35 ASA z usługami FIREPOWER (c.d.), cz.II - projektowanie 38 Szyna wymiany informacji McAfee Data Exchange Layer (DXL) 42 Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server 47 RSA Advanced SOC Biuletyn Informacyjny SOLIDEX® WYDARZENIA SOLIDEX najlepszym partnerem handlowym Clico Z wielką przyjemnością informujemy, że wieloletnia współpraca SOLIDEX z firmą Clico Sp. z o.o. została uhonorowana nagrodą dla Najlepszego Partnera Handlowego za 2015 rok. Na dorocznym Clico Partner Event (11-13 maja 2016) wyróżnienie odebrali członkowie Zarządu SOLIDEX wraz z niezwykle liczną delegacja SOLIDnych EXpertów. Mamy nadzieję, że przyszła współpraca między naszymi Firmami będzie przebiegać równie satysfakcjonująco, jak przez ostatnie lata. Firma Clico Sp . z o.o. jest jednym z największych specjalizowanych dystrybutorów z wartością dodaną (VAD) na rynku polskim oraz Europy Centralnej i Wschodniej, który już od 25 lat promuje rozwiązania liderów branży, takich jak: Check Point, F5 Networks, Juniper czy Forcepoint. KGHM docenia współpracę z SOLIDEX Wieloletnia współpraca z KGHM Polska Miedź S. A . zaowocowała wyróżnieniem naszej Firmy statuetką za dotychczasową współpracę oraz Partnerskie relacje łączące nasze Firmy. Na uroc zystej A kademii Jubileuszowej dnia 15 kwietnia 2016 roku w Centrum Kultury „Muza” w Lubinie w imieniu SOLIDEX wyróżnienie odebrał Dyrektor Rozwoju Sprzedaży Arkadiusz Andrysiewicz. 4 Integrujemy przyszłość® Jeste śmy bardzo dumni z tego wyróżnienia. Mamy nadzieję, że dalsza kooperacja z Centralnym Ośrodkiem Przetwarzania Informacji KGHM będzie przebiegać równie efektywnie i satysfakcjonująco dla obu stron. Numer: II/2016 (135) Forum Bezpieczeństwa Banków W dniu 10 maja 2016r. już po raz piąty odbyło się Forum Bezpieczeństwa Banków. SOLIDE X wraz z firmą Check Point Technologies był jednym ze sponsorów tego wydarzenia. Spotkanie cieszyło bardzo dużym zainteresowaniem i zgromadziło prawie 400 gości, którzy skupili się głównie na tematyce bliższej wspó ł prac y banków, polic ji i administracji publicznej w celu przeciwdziałania fraudom. Przez cały czas trwania konferencji SOLIDni EXperci byli do Państwa dyspoz yc ji na na s z ym s t oisk u i chętnie odpowiadali na Państwa pytania związane z szeroko pojętym bezpieczeństwem. Bezpieczna sieć we Wrocławiu 16 czerwca br. mieliśmy przyjemność gościć naszych K lientów w Hotelu Granary we Wrocławiu na dedykowanym seminarium. Prelegenci z naszych Partnerskich Firm – F5 Networks i Intel Security – przedstawili dostarczane przez Solidex rozwiązania z zakresu bezpieczeństwa IT. Konferenc ja obejmowa ł a dwie prelekcje, które zgłębiały zagadnienia ochrony przed zaawansowanymi atakami ukierunkowanymi na infrastrukturę IT, oraz ochronę przed atakami DDoS. Po części merytorycznej przyszedł też czas na przyjemności – wspólne kibicowanie naszej drużynie piłkarskiej w ramach zmagań na Euro 2016 we Francji. Na pewno dzięki naszemu zaangażowaniu udało się utrzymać bezbramkowy remis z obecnymi mistrzami świata ;-) Serdecznie dziękujemy wszystkim Klientom za udział. Biuletyn Informacyjny SOLIDEX® 5 WYDARZENIA SOLIDEX nagrodzony przez firmę Check Point Podc z as doroc z nego spot kania Partnerów Check Point Software Technologies Ltd. dnia 2 czerwca 2016 r. nasza firma została uhonorowana st atuetką „ za konsekwencję w działaniu z Check Point”. Nagrodę z rąk Country Managera K rzysz tofa Wójtowic za odebrał przedstawiciel Zarządu SOLIDEX S.A. CheckPoint Partner Event rozpoczął się częścią merytoryczną podczas której firma przedstawiła swoje nowości technologiczne, rozwiązania i wizję rozwoju i współpracy z Partnerami. W następnej części spotkania zostały rozdane nagrody dla najlepszych Partnerów za rok 2015. SOLIDEX współpracuje z firmą Check Point już prawie 2 dekady. Współpraca owocuje coraz bardziej złożonymi technologicznie projektami oraz coraz większą wiedzą technologiczną inżynierów SOLIDEX, która w tym roku została potwierdzona aż trzema certyfikatami Check Point Certified Security Master. Cykl seminariów prezentujących rozwiązania firmy Check Point W lipcu mieliśmy okazję gościć nasz ych K luc zowych K lient ów na serii spotkań zorganizowanych wraz z naszym Partnerem technologicznym firmą Check Point: na Stadionie Energa Gdańsk, w Warszawskim Forcie Sokolnickiego i Poznań Indoor Karting. Wydarzenie poświęcono w całości r oz wią z aniom be z pie c ze ń s t wa sieciowego Check Point – tematyce o dużym znaczeniu dla działalności każdej organizacji w dzisiejszych czasach. Nasi SOLIDni EXperci zaprezentowali najnowsze trendy w dziedzinie: nowe platformy sprzętowe Check Point, Sandblast Agent w praktyce oraz platformę do zarządzania R80. Serdecznie dziękujemy za Państwa aktywny udział. 6 Mamy nad z iej ę , ż e omawiane rozwiązania oraz sposób prowadzenia spot k ania pr z ypad ł y P a ń s twu Integrujemy przyszłość® do gustu. Do zobaczenia na kolejnych seminariach! Numer: II/2016 (135) SOLIDEX Boat Show – zbuduj bezpieczną sieć z SOLIDnymi Expertami Tej wiosny SOLIDEX wraz z Partnerem technologicznym – firmą Cisco Systems – przygotował dla Państwa serię wyjątkowych spotkań prezentujących rozwiązania bezpieczeństwa Cisco. Wyjątkowych nie tylko ze względu na lokalizację – wprowadzające w klimat wakacyjny barki cumujące na największych polskich rzekach ale również na nadzwyczajny pokaz hackingu na żywo. Prelegenci zaprezentowali rozwiązania C isco Sec urity - prak tyc zną implementację wiedzy na temat zagrożeń w infrastrukturze IT oraz Advanced Malware Protection. Wszystkim go ś c iom, k tór zy uczestniczyli w tym wydarzeniu w Warszawie, Poznaniu i Krakowie dziękujemy za spotkania i c zas poświęcony na wymianę doświadczeń dotyc z ąc ych bezpiec zeństwa sieciowego. Biuletyn Informacyjny SOLIDEX® 7 WYDARZENIA Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX W tym roku S OL IDE X mia ł przyjemność być jednym ze Sponsorów organizowanego corocznie Festiwalu Zaczarowanej Piosenki. Wydarzenie pr z ygot owa ne pr z e z F undac j ę Anny Dymnej „Mimo Wszystko” zgromadziło jak zwykle tysiące Krakowian. SOLIDEX współpracuje z Fundacją A nny D ymnej o d r oz p o c z ę c ia jej d z ia ł alno ś c i w 2 0 0 3 r ok u . Od samego początku wspiera Fundację „Mimo Wszystko” w codziennej działalności czyli pomocy głównie osobom dor os ł ym dot k nię tym niepełnosprawnością intelektualną. 8 Integrujemy przyszłość® Numer: II/2016 (135) Hiperkonwergencja od Cisco - HX Data HyperFlex Cisco HyperFlex – hiperkonwergentne rozwiązanie, łączące w sobie zasoby procesora, przestrzeń dyskową (storage) oraz sieć w jedną prostą platformę sprzętową. Rozwiązanie nosi nazwę HX Data Platform. HyperFlex w warstwie software’u bazuje na rozwiązaniu SpringPath, a w warstwie sprzętowej na sprawdzonych już serwerach UCS. Dodatkowo w skład rozwiązania wchodzą dwa Interconnecty służące do zarządzania serwerami UCS, które także dostarczają cześć sieciową łączącą poszczególne serwery w klastrze i zapewniają komunikację z pozostałymi elementami w infrastrukturze Data Center. Serwery dwie role: pierwszą jest zapewnienie mocy obliczeniowej (compute), drugą zapewnienie przestrzeni dyskowej (storage). Rozwią zanie pozwala skalować to, c zego u ż ytkownik potrzebuje w danej chwili, dlatego HyperF lex (Rys . 1) składa się z platformy UCS, a dokładnie z serwerów UCS 220C lub 240C. Obie platformy serwerowe mogą pełnić Rys. 1 - jeśli jest potrzebna tylko moc obliczeniowa - możemy dołożyć serwery blade z rodziny B200 M4. Gdy nowe serwery zostaną dodane, oprogramowanie HyperFlex będzie zrównoważać obciążenie i zajętość dysków Architektura sprzętowa HyperFlex Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI dla całego rozwiązania. Do zbudowania klastra (Rys. 2) są potrzebne minimum 3 serwery, które obecnie mogą być skalowane do 8 serwerów. Cały czas trwają prace, aby środowisko można było skalować do większej ilości serwerów. W Tab. 1 zostały przedstawione parametry serwerów z jakich możemy zbudować klaster HyperFlex-owy. Oczywiście, jeśli potrzebujemy tylko mocy obliczeniowej „compute”, możemy wykorzystać serwery typu blade. Rys. 2 Software Każdy VL AN, który jest używany w klastrze HyperFlex, musi być rozciągnięty na przełączniki „Top of rack” - TOR. Dla VL ANów używanych tylko i wyłącznie w obrębie klastra, ruch nie powinien być dopuszczony do przełączników agregacyjnych. Na każdym serwerze w klastrze jest instalowana maszyna wir tualna „Controller VM”. Maszynę tą możemy traktować jako proxy pomiędzy środowiskiem VMware a fizycznym dostępem do zasobów dyskowych zainstalowanych w serwerze. Cecha Maszyna wirtualna Controller VM ma bezpośredni dostęp do dysków. Dzięki zainstalowanemu modułowi „IOVisor Module” w kernelu ESXi, wystawia zasoby dyskowe z wykorzystaniem protokołu NF S do ESX, na których mogą być tworzone VMware‘owe „Data Story”. HX 220C HX 240C Przeznaczenie podstawowa, mała przestrzeń dyskowa duża przestrzeń dyskowa, duża moc obliczeniowa Wielkość RU 1 RU 2 RU Pojemność dyskowa 6 x 1.2 TB HDDs 23 x 1.2 TB HDDs Cache 1 x 480 GB SSD 1 x 1.6 TB SSD do 2 procesorów w serwerze do 2 procesorów w serwerze przestrzeń dyskowa, moc bliczeniowa przestrzeń dyskowa, moc obliczeniowa Moc obliczeniowa Skalowność Tab. 1 Specyfikacja serwerów fizycznych Natomiast dla ruchu produkcyjnego w którym są maszyny wirtualne, VL ANy te muszę być dopuszczone do przełączników agregujących. Każdy serwer jest podpięty dwoma interfejsami 10Gb do każdego z Interconnectów (Rys. 3). Podczas instalacji środowiska HyperFlex automatycznie są tworzone wirtualne sieci w celu zapewnienia komunikacji wewnątrz i na zewnątrz klastra. W Tab. 2 zostały wyszczególnione nazwy oraz przeznaczenie sieci, które są tworzone podczas kreowania klastra HyperFlex, natomiast Tab. 3 prezentuje tworzone podsieci wirtualne. 10 Możliwości klastrowania Rys. 3 Połączenia fizyczne Integrujemy przyszłość® Numer: II/2016 (135) Nazwa Rola hv-mgmt zarządzanie inband dla VM Storage-data Dostęp do dysków i replikacja pomiędzy serwerami vm-network Dostęp na zewnątrz wykorzystywane przez VM hv-vmotion Wykorzystywane przez vmotion Tab. 2 Wirtualne sieci – tworzone automatycznie Kolejnym instalowanym modułem w kernelu ESXi jest „VAAI” (vStorage API’s for Array Integration). Dzięki temu modułowi są wykonywane operac je k lonowania i kopii migawkowych w trybie offload. Na Rys. 4 przedstawiono komponenty software, które są odpowiedzialne za komunikację pomiędzy serwerami znajdującymi się w klastrze. Konc epc ja roz wią z ania k last ra w przypadku awarii poszczególnego dysku w serwerze lub całego dysku polega na trzymaniu kilku kopii tych samych danych „bloków” w kilku kopiach na różnych serwerach. Podczas instalacji środowiska musimy zdecydować, w ilu kopiach chcemy trzymać nasze dane. Wartość „Replication Factor” (RF) ustawiamy dla całego klastra i nie możemy ich zmienić po zainicjowaniu systemu. Domyślna wartość to 3, co oznacza, że mamy 3 kopie każdego bloku danych. Kolejną wartością, jaką możemy ustawić dla klastra, jest „Access Policy”. W tym przypadku możliwa jest zmiana po uruchomieniu klastra. Mamy dwie Rys. 4 vNIC Name hv-mgmt-a, hv-mgmt-b Description ESXi vswitch-hx-inband-mgmt Active vNICs: hv-mgmt-a, hv-mgmt-b Standby vNICs: None,MTU: 1500 storage-data-a, storage-data-b ESXi vswitch-hx-storage data Active vNICs: storage-data-a Standby vNICs: storage-data-b MTU: 9000 VMKarnel Port Group Controller VM interface MTU vm-network-a, vm-network-b ESXi vswitch-hx-vm-network Active vNICs: vm-network-a, vm-network-b Standby vNICs: None,MTU: 1500 hv-vmotion-a, hv-vmotion-b ESXi vmotion Active vNICs: hv-vmotion-a, hv-vmotion-b Standby vNICs: None,MTU: 9000 Tab. 3 Interfejsy wirtualne możliwości: pierwsza z nich to tryb „strict”, drugi - “lenient”. Różnicę w zachowaniu klastra widać w sytuacji, gdy zostanie tylko jedna kopia danych. W przypadku ustawienia polityki na „strict” klaster przejdzie w tryb „tylko do odczytu” do chwili odbudowaniua Oprogramowanie instalowane na serwerze w klastrze Biuletyn Informacyjny SOLIDEX® przynajmniej dwóch kopii danych. Gdy wybierzemy politykę „lenient”,klaster pozostanie w trybie zapisu i odczytu mając jedną kopię danych. Klaster HyperFlex sprawdza obciążenie i aktywnie przenosi obciążenie na serwery mniej wykorzystywane. Pliki wirtualnych maszyn są równomiernie rozmieszczane na poszczególne serwery – na Rys. 5 (str.12) przedstawiono bloki A-E. Równocześnie odbywa się kopiowanie bloków bazując na ustawieniu „Replication Factor” (RF) tak, aby na każdym z serwerów były inne bloki. W przypadku awarii dysku lub serwera dostępne bloki A1-E1 są traktowane jako produkcyjne. Jednoc ześnie z tych bloków są tworzone dodatkowe kopie, aby zapewnić iloś ć kopi 11 NOWOŚCI Rys. 5 Operacje w klastrze zdefiniowanych przez RF. Oczywiście po usunięciu awarii dane zostaną automatycznie rozrzucone na wszystkie serwery w klastrze. Opis powyższego mechanizmu został przedstawiony na Rys. 5. W przypadku dodania kolejnego serwera do klastra proces rebalansowania zasobów również jest automatyc znie inic jalizowany. Nale ż y pamiętać, aby dodawać nowe zasoby do klastra wtedy, kiedy środowisko produkcyjne jest najmniej obciążone, gdyż proces ten obciąża klaster i sieć. 12 Podsumowanie Implementacja środowiska w ciągu minut, a nie dni. Elastyczne dopasowanie do wymagań klienta. Oddzielenie warstwy Storage od Compute. Brak wymagań w zakresie dodatkowych elementów sieciowych, gdyż w zestawie są dwa Interconnecty. Zaawansowane usługi zarządzania danymi. Wykorzystanie natywnego s z yb k ie go k l o n o w a nia d z i ę k i zastosowaniu VA A I. Tworzenie kopii migawkowych bez wpływu na działanie systemu. Zawsze włączona Integrujemy przyszłość® deduplikacja i kompresja danych w trybie inline pozwala na redukcję ich objętości nawet o 80%. Rozwią zanie znakomicie nadaje się do rozwiązań VDI. System został zaprojektowany od podstaw przy założeniu 30 % redukcji kosztów utrzymania TCO oraz o 40% większej wydajności w stosunku do dostępnych na rynku rozwiązań. Opracowano na podstawie oficjalnych materiałów producenta. M.W. Numer: II/2016 (135) Nowości w portfolio Juniper Networks Wprowadzenie normy ROHS2 na terenie Unii Europejskiej wymusiło odświeżenie znacznej części portfolio firmy Juniper Networks. Zmiany dotyczą głównie linii przełączników oraz małych firewalli. Poza spełnieniem nowej normy odświeżono ofertę oraz wprowadzono parę innowacyjnych elementów mających zapewnić konkurencyjność na rynku technologii sieciowych i bezpieczeństwa sieciowego. Dyrektywa ROHS2 Założeniem twórców RoHS było wyeliminowanie z urządzeń elektronicznych substancji o dużej szkodliwości dla ludzi i środowiska naturalnego głównie ołowiu ze stopu lutowniczego oraz rtęci. Zakazy dotknęły elektronikę konsumencką i inny podobny sprzęt produkowany masowo bo z uwagi na jego ilość oraz krótki czas użytkowania, oddziaływanie tych urządzeń na środowisko uznano za najsilniejsze i konieczne do zmiany w pierwszej kolejności. Noweliz ac ja dyrek tywy RoHS , czyli RoHS 2, przyniosła nie tylko wyjaśnienie nieprecyzyjnych zapisów z 2006 roku, ale wprowadziła także dalsze obostrzenia poprzez rozszerzenie Rys. 1 Przełącznik Juniper Networks EX2300 Rys. 2 Przełącznik Juniper Networks EX2300-C Biuletyn Informacyjny SOLIDEX® 13 NOWOŚCI Rys. 3 Wdrożenie przełączników EX2300 przy zastosowaniu technologii Virtual Chassis grup wyrobów objętych zakazami i ograniczenie wyjątków. Dotknęło to w szczególności znacznej grupy urządzeń firmy Juniper Networks. Producent odpowiednio wcześniej zabrał się za odświeżanie swojego portfolio pod względem zgodności z dyrektywą RoHS2, czego efektem jest całkowicie nowa linia przełączników dostępowych EX oraz firewalli SRX. Przełącznik EX2300 Przełącznik EX 2300 jest następcą obecnego od 2010 roku w portfolio firmy Juniper Networks modelu EX2200. Jest to najprostszy przełącznik w ofercie tego producenta mający z założenia być wykorzystywany bezwiatrakowego modelu EX2300-C • Dostępność modeli z zasilaniem PoE z budżetem mocy 15.4W na każdy port downlink 1GE • Wsparcie dla technologii Energy Efficent Ethernet dla portów downlink 1GE • Pełen zakres funkcjonalności Layer 2 oraz ograniczony Layer 3 • Uproszczone zarządzanie przy wykorzystaniu J-Web GUI oraz Juniper Networks Junos Space Network Director Dost ępne modele pr ze ł ąc znika E X 2300 przedstawiono w Tab. 1 a wygląd przykładowych modeli pełnowymiarowego i kompaktowego przedstawiono na Rys.: 1 i 2 (str. 13). Porty downlink 10/100/1000 Base-T Porty uplink 1/10 GE SFP/ SFP+ Porty PoE/PoE+ Budżet zasilania PoE/PoE+ Chłodzenie Zasilanie EX2300-24T 24 4 0 - 1x Fixed, AFO Wewnętrzne AC EX2300-24P 24 4 24 370W 2x Fixed, AFO Wewnętrzne AC EX2300-24T-DC 24 4 0 - 1x Fixed, AFO Wewnętrzne DC EX2300-48T 48 4 0 - 1x Fixed, AFO Wewnętrzne AC EX2300-48P 48 4 48 740W 2x Fixed, AFO Wewnętrzne AC EX2300-48T-DC 48 4 0 - 1x Fixed, AFO Wewnętrzne DC EX2300-C-12T 12 2 0 - pasywne Zewnętrzne DC EX2300-C-12P 12 2 12 124W pasywne Zewnętrzne DC Model Tab. 1 14 do pr o s t yc h z a s t o s owa ń ja ko przełącznik standalone L2 z podstawowymi funkcjonalnościmi L 3 . Po d s t aw ow a c ha r a k t e r y s t yk a przełącznika EX2300: • Wsparcie dla technologii Junos Fusion Enterprise umożliwiające skonfigurowanie przełączników EX2300 jako wyniesione karty liniowe dla przełącznika EX9200 tworząc przy tym jedno logiczne urządzenie • Wsparcie dla technologii Virtual Chassis przy wykorzystaniu dodatkowej licencji • Uplinki zabudowane 4x 1/10GE SFP/ SFP+ • D o s t ę pno ś ć mo de li 2 4 i 4 8 portowych • Dos t ę pno ś ć kompak t owego, Dostępne modele przełączników Juniper Networks EX2300 Integrujemy przyszłość® Numer: II/2016 (135) Model Porty Porty Porty downlink uplink uplink Porty PoE/ 10/100/1000 1/10 GE 40GE PoE+ Base-T SFP/SFP+ QSFP+ Budżet zasilania PoE/PoE+ Chłodzenie Zasilanie EX3400-24T 24 4 2 - - 2x Hot-Swap AFO Dual Hot-Swap AC EX3400-24P 24 4 2 24 370W/720W 2x Hot-Swap AFO Dual Hot-Swap AC EX3400-24T-DC 24 4 2 - - 2x Hot-Swap AFO Dual Hot-Swap DC EX3400-48T 48 4 2 - - 2x Hot-Swap AFO Dual Hot-Swap AC EX3400-48P 48 4 2 48 740W/1440W 2x Hot-Swap AFO Dual Hot-Swap AC EX3400-48T-AFI 48 4 2 - - 2x Hot-Swap AFI Dual Hot-Swap AC Tab. 2 Dostępne modele przełącznika Juniper Networks EX3400 W porównaniu do modelu EX2200 główną zmianą w architekturze fizycznej jest zmiana standardu portów uplink z 4x1GE SFP do 4x 1/10GE SFP/ SFP+. Z punktu widzenia funkcjonalności nastąpiły dwie zmiany: wsparcie dla technologii Virtual Chassis (Rys. 3) jest obecnie licencjonowane oraz pojawiło się wsparcie dla długo zapowiadanej technologii Junos Fusion Enterprise. Licencjonowanie technologii Virtual Chassis wydaje się racjonalnie uzasadnione w związku z tym, że w EX2200 była wykorzystywana w znikomym stopniu, a sam przełącznik EX 2300 pozycjonowany jest raczej do prostych rozwiązań standalone. Z pewnością rekompensuje tą zmianę wsparcie dla technologii Junos Fusion, która może być ciekawą propozycją dla średniej wielko ś c i siec i kampusowych. Po d s t aw ow a c ha r a k t e r y s t yk a przełącznika EX3400: • Wsparcie dla technologii Junos Fusion Enterprise (Rys. 6, str. 16) umożliwiające skonfigurowanie przełączników EX3400 jako wyniesione karty liniowe dla przełącznika EX9200 tworząc przy tym jedno logiczne urządzenie • Wsparcie dla technologii Virtual Chassis do 10 przełączników w stosie • Uplinki zabudowane 4x 1/10GE SFP/ SFP+ oraz 2x 40GE QSFP+ • D o s t ę pno ś ć mo deli 2 4 i 4 8 portowych • Dostępność modeli ze standardowym i odwróconym przepływem powietrza umożliwiającym zastosowanie w centrach przetwarzania danych • Dostępność modeli z zasilaniem PoE/PoE+ z budżetem mocy 15.4W na każdy port downlink 1GE • Dwa redundantne, wyjmowane na gorąco zasilacze dostarczające 920W mocy każdy • Wsparcie dla technologii Energy Efficent Ethernet dla portów downlink 1GE • Pełen zakres funkcjonalności Layer 2 oraz ograniczony Layer 3 • Możliwość rozbudowy o pełen zakres funkcjonalności Layer 3 przy zastoswaniu licencji Enhanced • Uproszczone zarządzanie przy wykorzystniu J-Web GUI oraz Juniper Networks Junos Space Network Director. Przełącznik EX3400 Przełącznik EX3400 jest następcą obecnego od 2011 roku w portfolio firmy Juniper Networks modelu E X 3 3 0 0 . Je s t t o p o ds t awowy przełącznik w ofercie tego Producenta mającym z założenia być wykorzystany jako przełącznik dostępowy L2/L3 z możliwością łączenia w stos Virtual Chassis do 10 przełączników. Rys. 4 Przełącznik Juniper Networks EX3400 – przód Rys. 5 Przełącznik Juniper Networks EX3400 – tył Biuletyn Informacyjny SOLIDEX® 15 NOWOŚCI SRX300 SRX320 SRX340 SRX345 Porty zabudowane 8x1GE 8x1GE 16x1GE 16x1GE Porty zabudowane RJ45 6 6 8 8 Porty zabudowane SFP 2 2 8 8 Porty MACsec 2 2 16 16 Routing/firewall 64B [kpps] 200 kpps 200 kpps 350 kpps 550 kpps Routing/firewall IMIX [Mbps] 500 Mbps 500 Mbps 1000 Mbps 1700 Mbps Routing/firwall 1518B [Gbps] 1 Gbps 1 Gbps 3 Gbps 5 Gbps IPsec VPN IMIX [Mbps] 100 Mbps 100 Mbps 200 Mbps 300 Mbps IPsec VPN 1400B [Mbps] 300 Mbps 300 Mbps 600 Mbps 800 Mbps Tablica routingu RIB/FIB 256k/256k 256k/256k 1M/600k 1M/600k Tab. 3 Dostępne modele firewalli Juniper Networks SRX300 Firewalle SRX Rys. 6 Wdrożenie przełączników EX3400 w technologii Junos Fusion Dost ępne modele pr ze ł ąc znika E X 3 4 00 zost ał y przedst awione w Tab. 2, a wygląd przykładowego modelu z widokiem z przodu i z tyłu na Rys.: 4 i 5 (str. 15). W porównaniu do modelu EX3300 główną zmianą w architekturze fizycznej modelu EX3400 jest wyposażenie przełącznika w podwójne, wyjmowane na gorąco zasilacze oraz zastosowanie obok uplinków 4x 1/10GE SFP/SFP+ dwóch uplinków 2 x 4 0 GE Q SF P+. Umo ż liwia t o r e z yg nac j ę z do dat kowyc h zewnętrznych zasilaczy RPS, które zapewniał y nam ciągłoś ć pracy w p r z y p a d k u a w a r ii w b u d o wanego zasilacza. Dodatkowe porty 16 umożliwiają wykorzystanie wszystkich czterech portów 10GE jako uplinki, podczas gdy porty 40GE służą nam w typowym zastosowaniu jako porty VPC pod Virtual Chassis. Rys. 7 Portfolio firewalli Juniper Networks jeszcze do niedawna było całkiem rozbudowane, składało się z trzynastu modeli, w tym siedmiu modeli klasy Branch (SR X100, SR X110, SR X 210, SRX220, SRX240, SRX550, SRX650) oraz sześciu modeli klasy High-End (SR X1400, SR X 3 400, SR X 3600, SR X 5 400, SR X 5600, SR X 5800). W pr owad z enie nor my ROH S 2 wymusiło wycofanie z por tfolio firewall aż dziewięciu modeli (SRX100, SRX110, SRX210, SRX220, SRX240, SR X 6 5 0 , SR X 1 4 0 0 , SR X 3 4 0 0 , SRX3600). Warto przy tym zauważyć, że modele te nie są wycofane przez Producenta ze sprzedaży w skali globalnej, tylko ograniczony jest obrót nowymi produktami na terenie Unii Europejskiej. Nie znany jest jeszcze „koniec życia” tych modeli, więc dotychczasowi Klienci mogą z tych Firewalle Juniper Networks SRX300 Integrujemy przyszłość® Numer: II/2016 (135) Rys. 8 Portfolio firewalli SRX firmy Juniper Networks po wprowadzeniu normy RoHS2 produktów korzystać i bez problemu przedłużać na nie kontrakt serwisowy . Do portfolio firewall Juniper Networks wprowadzono pięć nowych modeli: SRX300, SRX320, SRX340, SRX345 oraz SR X1500. Obecne por tfolio security firmy Juniper Networks zostało przedstawione na Rys. 8. Dostępne modele firewalli SRX300 przedst awiono na Rys . 7, a ich podstawowe parametry zestawiono w Tab. 3. Firewalle SRX300 są ciekawą propozycją jako urządzenia typu branch of fic e realiz ując e jednoc ze śnie funkcjonalność routera, firewalla jak i przełącznika. Skok wydajności w porównaniu z poprzednią linią urządzeń jest znaczący, a Klienci przyzwyczajeni do możliwości systemu operacyjnego Junos - szczególnie w kontekście wirtualizacji i realizacji zaawansowanego routingu - przyjmą nowe urządzenia z nieskrywanym zadowoleniem. Biuletyn Informacyjny SOLIDEX® Opracowano na podstawie oficjalnych materiałów producenta. B.M. 17 NOWOŚCI SDN w wydaniu Vmware NSX W obecnych czasach przedsiębiorstwa zdają sobie sprawę z benefitów jakie daje wirtualizacja serwerów. Główne zalety to możliwość uruchomienia kilku wirtualnych maszyn na jednym serwerze fizycznym, ograniczenie kosztów zakupu nowych serwerów, redukcję kosztów zasilania i chłodzenia oraz lepsze wykorzystanie mocy obliczeniowej serwerów. 18 Na czym polega SDN oraz SDDC ? Co to jest Vmware NSX ? Głównym założeniem sieci SDN (Software Defined Network) jest separacja płaszczyzny sterowania od płaszczyzny danych, co prowadzi do centralizacji funkcji sterowania. Jest to podejście odmienne od stosowanego do tej pory, gdzie logika odpowiedzialna za funkcjonowanie całej infrastruktury jest rozproszona na poszczególne urządzenia sieciowe odpowiedzialne za transport ramek/ pakietów. Definiowane programowo centr um pr zetwar zania danych SDDC ( S of tware -Defined Dat a Center) oznacza DC, w którym cała infrastruktura jest zwirtualizowana i oferowana jako usługi. Wirtualizacja serwerów pozwala także zadbać o wysoką dostępność aplikacji dzięki mechanizmom klastrowania oraz funkcjonalnościom takim jak vMotion, Storage vMotion, Fault Tolerant, Snapshot, Replikacja. Jednakże sieci L AN w Data Center pozostają od lat w niezmienionej, skomplikowanej i złożonej formie nie wykorzystując potencjału jaki daje wirtualizacja. Jest to platforma do wirtualizacji sieci w SDDC (Software Defined Data Center). Realizuje funkcje sieciowe połączone z zaawansowanymi mechanizmami bezpieczeństwa które zwykle Rys. 1 zaimplementowane są na fizycznym sprzęcie, bezpośrednio w warstwie hypervisor-a. NSX umożliwia odtworzenie całego środowiska sieciowego w warstwie wirtualnej i może działać na każdej istniejącej fizycznej sieci, niezależnie od posiadanego sprzętu. Potrafi realizować switching, routing, Architektura platformy Vmware NSX Integrujemy przyszłość® Numer: II/2016 (135) trzeciej. Dzięki takiemu podejściu możemy wyeliminować wyżej wymienione problemy. Korzyści protokołu VXLAN Rys. 2 Ramka VXLAN firewalling, load balancing, VPN, QoS, oraz monitoring infrastruktury. Architektura rozwiązania Platforma NSX składa się z trzech komponentów: data plane, control plane i management plane (Rys. 1). Management Plane realizowany jest poprzez NSX Manager-a, Control Plane poprzez klaster NSX kontrolerów a Data Plane bezpośrednio na hostach ESXi. NSX Manager oraz kontrolery, uruchamiane są w postaci maszyn wirtualnych i nie wymagają oddzielnego sprzętu. Rys. 3 Wyzwania współczesnej sieci w DC • s e g me nt ac ja sie c i na wielu „tenantów” z pokrywającą się adresacją IP • rozc iąganie war stwy dr ugiej pomiędzy centrami danych w celu migracji maszyn wirtualnych • problemy z wydajnością, ruchem BUM (Broadcast, Unknown unicast and Multicast) oraz protokołem STP w dużych domenach L2 rozciągniętych pomiędzy wieloma DC Vmware NSX działa jako technologia „overlay” oparta na protokole VXLAN (Virtual eXtensible Local Area Network), który enkapsuluje ruch w warstwie drugiej do warstwy Korzyści jakie daje protokół: • możliwość tworzenia sieci dla wielu „tenantów” z pokrywającymi się adresami IP • łatwe rozciąganie warstwy drugiej na potrzeby vMotion niezależnie od fizycznej sieci • eliminowanie limitów tablic adresów MAC w fizycznych przełącznikach. • VXLAN umożliwia stworzenie do 16 milionów wirtualnych sieci w odniesieniu do limitu 4094 dla tradycyjnych VLAN-ów Budowę ramki VXL AN prezentuje Rys. 2., natomiast Rys. 3 przedstawia proces ustanowienia komunikacji w warstwie drugiej pomiędzy dwoma maszynami wirtualnymi znajdującymi się na różnych hostach Esxi wykorzystując technologię „overlay” VXLAN. Poniżej zostały kolejno zaprezentowanie kluczowe funkcjonalności platformy Vmware NSX w wybranych obszarach. Switching (Logical Switch) Logiczne sieci L 2 które mogą być rozciągnięte pomiędzy wieloma DC Komunikacja VXLAN Biuletyn Informacyjny SOLIDEX® 19 NOWOŚCI „hair pinning ” (zawijanie ruchu na zewnątrz), co przedstawia Rys. 6. Dzięki DLR w przypadku komunikacji dwóch maszyn wirtualnych z innych segmentów sieci znajdujących się na tym samym hoście Esxi, routing odbywa się lokalnie i ruch nie wychodzi poza fizyczny serwer. NSX Edge Services Gateway Rys. 4 Rys. 5 Logical Switch Distibuted Logical Router poprzez routowalną sieć L3 wykorzystując protokół VXLAN. Możliwe jest tworzenie domen L2 z pokrywającą się adresacją dla wielu „tenantów” (Rys. 4) moduł w kernelu każdego hypervisor-a. DLR umożliwia także „Bridging” czyli mapowanie sieci wirtualnych opar tych na protokole V X L A N do tradycyjnych VLAN-ów działających na fizycznych przełącznikach. W tradycyjnym środowisku bez NSX routing pomiędzy maszynami wirtualnymi realizowany jest przeważnie przez fizyczny router, przełącznik lub firewall. Konsekwencją takiego podej ś c ia jest z jawisko z wane Routing (Distributed Logical Router – DLR) DLR to rozproszony na wszystkie hosty router. Zbudowany jest z warstwy control plane i data plane (Rys. 5). Za control plane odpowiedzialna jest maszyna wirtualna (Control VM dwie dla redundancji). Odpowiada za obsługę dynamicznych protokołów routingu takich jak BGP czy OSPF. Trasy nauczone przez control plane są wstrzykiwane do każdego hosta. Data plane obsługiwany jest przez 20 Rys. 6 Hair pinning Integrujemy przyszłość® Je go g ł ównym z ada nie m je s t połączenie sieci fizycznej (Rys. 7) z siecią wirtualną oraz dostarczanie różnych usług sieciowych takich jak: • Routing and Network Address Translation (NAT) • Firewall • Load Balancing • L2 and L3 Virtual Private Networks (VPNs) • DHCP, DNS and IP address management (DDI) • VXLAN –VLAN bridging Distributed Firewalling (DFW) NSX posiada wbudowanego pełno stanowego firewalla zaimplementowanego w kernelu każdego hypervisora osiągającego wydajność 20 Gbps per fizyczny host. Numer: II/2016 (135) Dzięki NSX DFW możemy wymusić polityki bezpieczeństwa schodząc do poziomu karty sieciowej maszyny wirtualnej. Zapewnia to znakomitą m o ż liw o ś ć mik r o s e g me n t ac ji . Polityki są centralnie zarządzane i tworzone z jednego miejsca w konsoli webowej vCenter (Rys. 8). Dzięki API oraz modułowi „service insertion” możemy zintegrować i przekierować ruch do rozwiązań firm trzecich ( np. Checkpoint, Fortinet, PaloAlto, TrendMicro) w celu głębszej inspekcji. Reguły firewall-a mogą bazować na element ach od war stwy 2 do warstwy 4 oraz do warstwy 7 w przypadku integracji z innymi producentami zapór sieciowych. W przypadku przeniesienia maszyny wirtualnej na innego hosta, polityki i t ablic a s t anu s e sji podą ż ają za maszyną wirtualną. Rys. 7 NSX Edge Rys. 8 Distributed Firewall Rys. 9 VPN Load Balancing L4-L7 load balancer z możliwością S SL - off load. Ur uchamiany jest na komponencie NSX Edge. Główne funkcjonalności komponentu to: • wsparcie dla aplikacji działających na TCP oraz UDP • wiele algorytmów rozkładania obciążenia: round-robin, least connections, source IP hash, URI • wiele mechanizmów sprawdzania stanu aplikacji: TCP, HT TP, HT TPS włącznie z inspekcją zawartości • persistence: Source IP, MSRDP, cookie, ssl session-id • limitowanie ilości połączeń: maksymalna ilość połączeń oraz maksymalna ilość połączeń na sekundę • manipulacja L7: URL block, URL rewrite, content rewrite • SSL ofload • możliwość integracji z Load Balancerami 3-rd party (np. F5). Biuletyn Informacyjny SOLIDEX® 21 NOWOŚCI VPN Możliwość konfiguracji L 2 VPN, L3 VPN oraz SSL VPN obrazuje Rys. 9 (str. 21). NSX Cross vCenter W środowiskach z wieloma lokalizacjami posiadającymi własną instancję vCenter, NSX umożliwia rozciągnięcie fabryki pomiędzy nimi (Rys. 10). Umożliwia to łatwe przenoszenie VM pomiędzy lokalizacjami bez potrzeby zmian parametrów sieciowych oraz polityk bezpieczeństwa. NSX Manager z każdej lokalizacji synchronizuje obiekty i konfiguracje z głównym NSX Managerem który pełni rolę Primary. Pozostałe NSX Manager-y widnieją jako Secondary. Dzięki takiemu po ł ąc zeniu moż emy c entralnie zarządzać całą siecią, politykami bezpieczeństwa oraz monitoringiem. 22 Rys. 10 Cross vCenter pomiędzy dwoma lokalizacjami STANDART ADVANCED ENTERPRISE Distributed switching and routing • • • NSX Edge firewall • • • Licencjonowanie i wersje produktu NAT • • • Software L2 bridging to phisical environment • • • Dynamic routing with ECMP (active-active) • • • Vmware NSX występuje w trzech edycjach: STANDARD, ADVANCED i ENTERPRISE . Licencjonowany jest per fizyczny procesor w hostach ESXi. Tabela ( Tab. 1) przedstawia funkcjonalności jakie są dostępne w każdej wersji. API-driven automation • • • Integration with vRealize and OpenStack • • • Log managment with vRealize Log Insight • • • Automation of security policies with vRealize • • NSX Edge load balancing • • Distributed firewalling • • Integration with Active Directory • • Server activity monitoring • • Podsumowanie Service insertion (third-party integration) • • Integration with VMware AirWatch® • • Vmware NSX to platforma, która wnosi prostotę zarządzania, elastyczność, wydajność oraz skalowalność. Wraz z możliwościami tworzenia logicznych siec i na ż ądanie , opierając się na protokole V XL AN, dzięki NSX Edge Services Gateway dostarcza typowe usługi wykorzystywanie w DC takie jak DHCP, DNS, NAT, Load Balancing, Firewall. Wirtualizacja sieci to pełna reprodukcja sieci fizycznej w ramach oprogramowania. Sieci wirtualne oferują te same funkcje i gwarancje, co sieci fizyczne, ale wiążą Cross vCenter NSX • Multisite NSX optimizations • VPN (IPSEC and SSL) • Remote gateway • Integration with hardware VTEPs • Tab. 1 Wersje produktu się z niższymi kosztami operacyjnymi i większą niezależnością od sprzętu wynikającą z wirtualizacji. Ponadto zapewniają szybkie przydzielanie zasobów, niepowodujące przerw w działaniu wdrażanie, automatyczną Integrujemy przyszłość® konserwację oraz obsługę zarówno starszych, jak i nowych aplikacji. Opracowano na podstawie oficjalnych materiałów producenta. M.Ch. Numer: II/2016 (135) Arista–producent innowacyjnych rozwiązań Niewiele ponad dekadę w przemyśle sieci komputerowych, a firma już zaskakuje wydajnością swoich rozwiązań oraz szeroką gamą produktów skierowanych do posiadaczy dużych środowisk Data Center. Udało się to osiągnąć poprzez korzystanie z nowoczesnych układów ASIC, stworzenie oprogramowania ułatwiającego zarządzanie oraz autorski, rozszerzaly system operacyjny „Extensible Operating System”, EOS. Arista Networks Hardware Firma założona w 2004 roku, z Centralą w Santa Clara w Kalifornii. Specjalizacją Firmy jest dostarczanie wielowarstwowych przełączników nowej generacji zgodnych z założeniami SDN (Software-Defined Networking). Przełączniki Aristy charakteryzują się bardzo niskimi opóźnieniami, w granicach 500 µs, niewielkim zużyciem energii wynoszącym poniżej 1W per port oraz dużym zagęszczeniem interfejsów przypadających na 1RU. W 2 0 1 2 r ok u powy ż s ze z alety uplasowały model 7124SX (Rys.1) na pierwszej pozycji w rankingu najszybszych przełączników. Jak wcześniej zostało wspomniane, urządzenia firmy Arista znajdują zastosowanie szczególnie w dużych centrach danych, aczkolwiek mogą być stosowane również w sieciach kampusowych. W ofercie znajdują To nie koniec sukcesów na międzynarodowej arenie, ponieważ rok później Arista została wyróżniona uzyskując pierwsze miejsce – Innovation Awards 2013 w kategorii rozwiązań Cloud/ Datacenter (Rys. 2, str. 24). Rys. 1 się zarówno małe pr ze ł ąc znik i o wielkości 1RU, jak i duże, skalowalne switche o modularnej konstrukcji. Producent podzielił swoje produkty na 10 rodzin urządzeń, z których najważniejsze zostały przedstawione na Rys. 3 (str. 24). Przełącznik dostępowy Arista 7124SX Biuletyn Informacyjny SOLIDEX® 23 TECHNOLOGIE z pozostałymi wiodącymi dostawcami tej kategorii urządzeń. EOS™ czyli Extensible Operating System Rys. 2 Nagroda dla Arista Networks 7500 ‘E’ Series P r ze ł ąc znik i charak ter yzują się dużą ilością portów o różnych konfiguracjach przepustowości. Ciekawostką są wysokie osiągi urządzeń nawet w przypadku najniższych modeli. Przykładowo modele 7010 oraz 7048T osiągają przepustowości na poziomie 176Gbps, model 7050X jest w st anie przetwarzać dane z prędkością 2,56Tbps, a rodzina 7500R osiąga prawie 10Tbps przypadające na jedną kartę liniową przełącznika. Te parametry powodują, że przełączniki Aristy z powodzeniem konkurują Rys. 3 24 Swoją wysoką pozycję na rynku roz wią z a ń siec iowych A r ist a utrzymuje nie tylko dzięki urządzeniom omówionym w poprzednim akapicie, ale także dzięki swojemu własnemu, innowacyjnemu systemowi operacyjnemu, który jest instalowany w tej samej wersji na wszystkich modelach urządzeń. Firmowy EOS™ jest dziełem w całości opartym na niezmodyfikowanym jądrze systemu Linux Fedora. To co wyróżnia go pośród innych jest podział oprogramowania przełącznika na ponad 100 osobnych procesów, które nie komunikują się ze sobą bezpośrednio, lecz wymieniają dane poprzez centralne repozytorium. Pozwala to uprościć projektowanie logic znej współ pracy pomiędzy Portfolio produktów Arista Networks Integrujemy przyszłość® procesami oraz uniknąć kłopotliwych z ale ż no ś c i pr z y wprowadz aniu zmian w poszczególnych logicznych częściach systemu.Dodatkowo każdy z tych procesów ma własnego agenta do obsługi konkretnej funkcjonalności urządzenia. W rezultacie uzyskujemy odseparowanie od siebie wszystkich aktywnych protokołów i funkcji co niesie za sobą dużo większe możliwości uniknięcia problemów wynikających z winy oprogramowania, niż w przypadku systemów operacyjnych, w k tór ych procesy komunikują się bezpo średnio mię dzy sobą . Przykładowo, gdy program pewnego procesu ulegnie awarii, to użytkownik traci możliwość korzystania tylko z danej funkcji, a nie całego urządzenia. Na tym nie koniec korzyści, ponieważ dzięki temu architektura systemu operacyjnego znacząco upraszcza zrealizowanie funkcjonalności ISSU (In-Service Software Upgrade), czyli możliwości instalacji aktualizacji oprogramowania w trakcie działania urządzenia. Jest to bardzo duże udogodnienie dla użytkowników, którzy Numer: II/2016 (135) Mechanizm CloudVision, który jest częścią EOS’a, rozszerza standardowe CLI poprzez użycie XMPP jako wspólną magistralę poleceń do zarządzania i konfigurowania urządzeń (Rys. 4). Ta funkcjonalność została zaimplementowana poprzez integrację istniejącej biblioteki open-source Python’a XMPP z CLI. Efektem jest rozwiązanie, które centralizuje logikę zarządzania działaniem sieci oraz jest punktem styku do zewnętrznej integracji ze środowiskiem hypervisor’ów oraz środowiskiem Software-Defined Networking. Rys. 4 Arista’s Universal Cloud Network nie mogą, bądź nie chcą pozwolić na przerywanie działania urządzenia. Ze względu na to, że EOS działa w oparciu o system Linux, posiada możliwość jego programowania oraz użycia typowych dla systemu Linux narzędzi np. tcpdump czy też implementacji skryptów. System operacyjny Aristy zapewnia dopracowane API do komunikacji i kontroli pracy przełącznika. Zarządzanie może się tak że odbywać poprzez autorske rozwiązanie CloudVision. Rys. 5 CloudVision – automatyzacja provisioningu i zarządzania Zaprojektowanie wysoce dostępnego oraz odpornego na błędy systemu op er ac yjnego by ł o dla A r is t y pierwszym etapem budowy rozwiązania pozwalającego na automatyzac ję procesów wdra ż ania i zarządzania siecią. Biorąc pod uwagę to, że środowiska Data Center, w których najczęściej stosowane są omawiane rozwiązania zawiera dziesiątki czy setki urządzeń z tysiącami portów, proces wdrażania, konfigurowania i zarządzania stanowi nie lada wyzwanie. Zero Touch Provisioning CloudVision jest ważnym elementem modelu st anowej bazy danych, zwanej „SysDB”, która pośredniczy w wymianie informacji pomiędzy aktywnymi procesami składającymi się na pracę EOS’a. W rezultacie SysDB odbiera oraz przetrzymuje wszystkie informacje o stanie urządzenia, np. konfigurację, topologię sieci, stany protokołów itd. Posiadanie tych informacji daje możliwość użycia ich w celu zmiany stanu urządzenia. Jednym z udogodnień jest Zero Touch Provisioning (Rys. 5), które Arista wprowadziła na rynku rozwiązań sieciowych jako jedna z pierwszych. Dzięki dostępowi do informacji n a t e m a t u r z ą d z e ń o r a z Z T P, użytkownik może automatycznie dostarczyć wygenerowaną wcześniej konfigurację /skrypt bez udziału człowieka. Istnieje także możliwość ręcznego zarządzania konfiguracją na dowolnym urządzeniu. Wszystkie powyższe funkcje są obsługiwane przez tylko jedno narzędzie nazywane „Network Provisioning Portal”(Rys. 6), gdzie administrator ma tak że możliwoś ć stworzenia diagramu logicznej topologii sieci, co dodatkowo ułatwia zarządzanie. Opracowano na podstawie oficjalnych materiałów producenta. D.Z. Rys. 6 Network Provisioning Portal Biuletyn Informacyjny SOLIDEX® 25 TECHNOLOGIE Przełączniki Przemysłowe Cisco (Cisco Industrial Ethernet Switch) W związku z rozwojem Smart City i Internet of Things (IoT) przemysłu budowlanego czy transportu rośnie zapotrzebowanie na sprzęt niestandardowy - tzn. mogący pracować w niskich lub wysokich temperaturach, będąc odpornym na pyły, wilgoć, uderzenia - ale jednocześnie sprzęt, niezawodny, który będzie pracował w zgodzie z ogólnie przyjętymi normami i standardami – sprzęt, na którym można uruchomić i świadczyć różnego rodzaju usługi. To wszystko przy jednoczesnej łatwości konfiguracji i wysokiej jakości mechanizmach bezpieczeństwa swoich użytkowników. Cisco Industrial Ethernet Switch Tu z pomocą przychodzi firma Cisco, w k tórej ofercie moż na znaleź ć Cisco Industrial Ethernet Switch czyli przełączniki przemysłowe. Przełączniki te znalazły zastosowanie w m.in.: • • • • • • 26 Inteligentne miasta Internet Rzeczy Inteligentne systemy transportowe Automatyka przemysłowa Przemysł wydobywczy Funkcje nadzoru i monitoring Przemysłowe przełączniki sieciowe to mieszanka niezawodności i dostępu do wysokiej jakości technologii. Z pomocą tych przełączników jesteśmy w stanie szybko skalować swoją sieć w trudno dostępnych punktach końcowych, przy jednoc zesnym zachowaniu bezpieczeństwa i odporności na różne zakłócenia - równocześnie monitorując naszą sieć. Główne korzyści: • wysoka jakość wykonania • odporność na warunki zewnętrzne • niezawodność • skalowalność sieci • łatwość instalacji Integrujemy przyszłość® • niezawodny system operacyjny IOS (jednolity z innymi przełącznikami Cisco) • monit or owanie p ar ame t r ów urządzenia w czasie rzeczywistym • b e z p ie c z e ń s t w o u r z ą d z e nia i użytkowników • zasilanie innych urządzeń przez porty PoE Do przedstawicieli przemysłowych przełączników należą: • Cisco IE 1000 • Cisco IE 2000 • Cisco IE 3000 • Cisco IE 4000 • Cisco IE 4010 • Cisco IE 5000 Numer: II/2016 (135) Porty "RAM: 128 MB Flash 160 MB " 4,8 ,16* Fast Eethernet Uplink 1-2* SFP Uplink 2* Hardware Tab. 1 PoE 4-8* Temperatura Pracy -40C** do 70C** "Stopień ochrony „International Protection Rating”" IP30 Parametry serii 1000; *- w zależności od modelu,** - w zależności od miejsca instalacji Cisco Industrial Ethernet 2000 Series Switches Przemysłowe przełączniki serii 2000 to przełączniki o kompaktowych rozmiarach, wzmocnionej konstrukcji oraz funkcjach dostępowych, które obsługują bezpieczeństwo, głos i wideo w sieciach przemysłowych. Rys.1 L 3 (RIP, OSPF, EIGRP, VRF Lite), EtherChannel • bezpieczeństwo – SSH, Radius, TAC ACS+, SNMPv3, port security, 802.1x, Strom Control • zasilanie – redundantne zasilacze; • zasilanie PoE – w zale ż noś ci od modelu • miejsce na kartę SD • port mini-USB Cisco IE 1000 Cisco Industrial Ethernet 1000 Series Switches Łatwo instalowany i zarządzany przełącznik przemysłowy warstwy 2. Przełączniki Cisco IE serii 1000 zostały zaprojektowane z myślą o niskich kosztach, małej liczbie portów i małych rozmiarach. Rys. 1 przedstawia przełącznik serii Cisco IE 1000, a w Tab. 1 przedstawiono wybrane parametry tego przełącznika. Przełączniki serii 2000 posiadają trzy typy licencji w zależności od modelu: • LAN Lite • LAN Base • Enhanced LAN Base Przełącznik serii Cisco IE 2000 przedstawiono na Rys. 2, a w Tab. 2 zebrano najważniejsze jego parametry. Główne cechy i funkcjonalności: • uruchamianie – bardzo szybki czas uruchomienia (do 60 sekund) • zarządzanie – Auto SmartPort, Web Manager, Telnet, HTTPS, SNMP, CNA, Cisco Prime Infrastructure • funkcjonalności – NAT, routing Tab. 2 Cisco IE 2000 Porty "RAM: 256 MB Karta Flash 1GB SD Flash 64 MB " 1-20* Fast Eethernet Uplink 4,8,16* SFP Uplink 2-4* Maksymalna prędkość przełączania 7,8 Gbps Maksymalna prędkość przekazywania 3,6 Gbps Hardware Główne cechy i funkcjonalności: • uruchamianie – bardzo szybki czas uruchomienia, tylko do 30s • zarządzanie – Web Gui, SNMP, Syslog • zabezpieczenia – port security, secure access • funkcjonalności – VLAN, STP, MST, LACP, Port Access Authentication • zasilanie – redundantne zasilacze • zasilanie PoE – od 4 do 8 portów Rys.2 PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony „International Protection Rating”" IP30 Parametry Cisco IE 2000; *- w zależności od modelu,** -w zależności od miejsca Biuletyn Informacyjny SOLIDEX® 27 TECHNOLOGIE Porty "RAM: 128 MB Flash 64 MB " 4 – 26* SFP Uplink 2* Hardware Tab. 3 Moduł rozszerzający Do 26 portów Fast Ethernet Maksymalna prędkość przełączania 16 Gbps Maksymalna prędkość przekazywania 6,5 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony „International Protection Rating”" IP20 (Rys. 4) jest niewielkich rozmiarów, co ułatwia instalację w trudnych miejsc ach. Wybrane parametr y przełącznika Cisco IE 4000 przedstawiono w Tab. 4. Parametry Cisco IE 3000; * -w zależności od modelu,** -w zależności od miejsca instalacji - RIP, OSPF, EIGRP, VRF Lite, PIMSM, PIM-DM, PIM sparse-dense mode • zasilanie – redundantne zasilacze zasilanie PoE – w zalezności od modelu. Przełączniki serii 3000 posiadają dwa typy licencji w zależności od modelu: LAN Base i IP Services. Rys.3 Cisco IE 3000 Cisco Industrial Ethernet 3000 Series Switches Przełączniki przemysłowe serii 3000 (Rys. 3, Tab. 3) to rodzina przełączników, które pracują w warstwie L2 i L3 posiadają solidne zabezpieczenia i innowacyjne rozwiązania oparte o Cisco IOS. Główne cechy i funkcjonalności: • zarządzanie – CDM, CNA, Cisco Prime, SSH, Telnet, SNMP • funkcjonalności* – QoS, EtherChannel LACP, HSRP, IGMPv3, NAT; • bezpieczeństwo (w zależności od licencji) - SSH, Radius, TAC ACS+, SNMPv3, port security, 802.1x, Strom Control • routing L3 (w zależności od licencji) 28 Główne cechy i funkcjonalności: • zarządzanie – CDM, CNA, Cisco Prime, SSH, Telnet, SNMP, Digital Optical Management • warstwa 2 - V TPv2, NTP, UDLD, CDP, LLDP • funkcjonalności* – QoS, EtherChannel LACP, IGMPv3,NAT • bezpiec zeństwo* - SC P, S SH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VL AN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary • routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing Cisco Industrial Ethernet 4000 Series Switches Przełączniki przemysłowe serii 4000 to najnowszy dodatek w portfolio pr zemys łowych pr ze ł ąc z ników firmy Cisco. Posiadają wzmocnioną konstrukcję i zapewniają doskonałe parametry pracy również w oparciu o Cisco IOS. Przełącznik serii 4000 Rys.4 Cisco IE 4000 Porty "RAM: 1GB MB Flash 128 MB Karta SD 1GB" 8 – 20* SFP Uplink 4-8* Przełączanie bez blokowania 40 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 75C** "Stopień ochrony „International Protection Rating”" IP30 Hardware Tab. 4 Parametry Cisco IE 4000; *- w zależności od modelu,** - w zależności od miejsca instalacji Integrujemy przyszłość® Numer: II/2016 (135) (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode • zasilanie – redundantne zasilacze • zasilanie PoE – w zale ż noś ci od modelu • miejsce na kartę SD • port mini-USB *w zależności od licencji Rys. 5 Przełączniki serii 4000 (a tak że opisanych poniżej 4010 i 5000) również posiadają dwa typy licencji w zależności od modelu: LAN Base oraz IP Services. Hardware Porty Cisco Industrial Ethernet 4010 Series Switches Przełączniki przemysłowe serii 4010 (Rys. 5) posiadają 28 interfejsów Gigabit Ethernet, co czyni je doskonałymi wyborem jako przełączniki dostępowe pracujące w trudnych warunkach. Przełączniki tej serii montowane są w szafach teleinformatycznych i pracują w warstwie L 2 i L3. Posiadają web GUI oparte o Express Setup co zapewnia łatwość konfiguracji. Wybrane parametry tej serii przedstawia Tab. 5. Główne cechy i funkcjonalności: • zarządzanie – CDM, CNA, Cisco Prime, SSH, Telnet, SNMP, Digital Optical Management • warstwa 2 - V TPv2, NTP, UDLD, CDP, LLDP • funkcjonalności* – QoS, EtherChannel LACP, IGMPv3,NAT • bezpiec zeństwo* - SC P, S SH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VL AN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary • routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing Cisco IE 4010 Tab. 5 "RAM: 1GB MB Flash 256 MB Karta SD 1GB" 12 – 28* SFP Uplink 4 SFP Ethernet 12* Maksymalna prędkość przełączania 56 Gbps Maksymalna prędkość przekazywania 28 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 75C** "Stopień ochrony „International Protection Rating”" IP30 Parametry serii 4010; *w zależności od modelu,** w zależności od miejsca instalacji (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode • zasilanie – redundantne zasilacze • zasilanie PoE – w zale ż noś ci od modelu • miejsce na kartę SD • port mini-USB *w zależności od licencji Cisco Industrial Ethernet 5000 Series Switches P rzemys łowe prze ł ąc zniki serii 5000 (Rys.6, str. 30) z czterema por tami 10 Gigabit Ethernet lub czterema portami 1 Gigabit Ethernet jako uplink i 24 portami Gigabit Ethernet jako por ty dostępowe. Montowany w szafie teleinformatycznej, przełącznik jest odporny na wstrząsy. Zapewnia łączność nawet w najtrudniejszych warunkach Biuletyn Informacyjny SOLIDEX® przemysłowych. Tab. 6 (str. 30) przedstawia wybrane parametry przełącznika Cisco IE 5000. Główne cechy i funkcjonalności: • zarządzanie – Fast Boot, Express Setup, Web Device Manager, Cisco Network Assistant, Cisco Prime Infrastructure, MIB, SmartPort, SNMP, syslog • warstwa 2 - V TPv2, NTP, UDLD, CDP, LLDP • funkcjonalności* – QoS, EtherChannel LACP, IGMPv3,NAT • bezpiec zeństwo* - SC P, S SH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VL AN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary • routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing 29 TECHNOLOGIE (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode • zasilanie – redundantne zasilacze • zasilanie PoE – w zaleznoś c i od modelu • miejsce na kartę SD • port mini-USB * w zależności od licencji Podsumowanie W dobie informacji, gdzie lic zy się każdy bit danych, a każde urządzenie i każdy z nas chce być online, firmy szukają rozwiązań zapewniających jak najmniej zawodny dostęp sieci. Ta kwestia dzisiaj nie pozostaje bez znaczenia zwłaszcza dla biz nesu . K a ż dy pot r zebuje rozwiązania najlepszego dla swoich potrzeb. Krótko scharakteryzowane powyżej prze łąc zniki, znalazł y już swoich odbiorców szczególnie w t r ansp or c ie , budownic t wie , na platformach wiertniczych czy w wojsku. Jest to dobre rozwiązanie dla wymagających użytkowników. Porty "RAM: 1GB MB Flash 256 MB Karta SD 1GB" 12 – 28* SFP Uplink 1G lub 10G 4 SFP Ethernet 12* Maksymalna prędkość przełączania 56 Gbps – 128 Gbps* Maksymalna prędkość przekazywania 28 Gbps – 64 Gbps* PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony „International Protection Rating”" IP30 Hardware Tab. 6 Parametry serii 5000; *w zależności od modelu,** w zależności od miejsca instalacji Rys. 6 Cisco IE 5000 Opracowano na podstawie oficjalnych materiałów producenta. D.B. 30 Integrujemy przyszłość® Numer: II/2016 (135) Digital Vault® ® – nowe spojrzenie na bezpieczeństwo Istnieje wielka ilość aspektów bezpieczeństwa analizowana podczas każdego projektu. Departamenty bezpieczeństwa, opracowując wytyczne tworzą politykę, która będzie chroniła firmę przed coraz to większą gamą zagrożeń. Wspólne dyskusje, poruszają zagadnienia firewall’i czy rozwiązań IPS chroniących przed zagrożeniami. Coraz więcej firm testuje i rozważa zakup rozwiązań klasy sandbox, która odrodziła pamięć o systemach AntiMalware i rzeczywiście dogania mit o możliwości ochrony przed zagrożeniami 0-day. Są jednak aspekty, które nie pojawiają się w rozważaniach lub są w dalszym ciągu marginalizowane. Passwords Bezpieczeństwo haseł, jak również zarządzanie dostępem uprzywilejowanym nie kończy się na zdefiniowaniu polityki określającej złożoność hasła i częstotliwości jego zmian. Z pewnością podnosi to poziom bezpieczeństwa jednak nie chroni nas przed jego kradzieżą i wykorzystaniem go przez osoby postronne. Hasło administratora raz zdobyte przez osobę nieupoważnioną daje mu nieograniczony dostęp, a tego typu incydenty są trudne do wykrycia i analizy. Nasze sieci zbudowane są z dziesiątek (jeśli nie setek) różnych urządzeń. Każde z nich, od przełącznika do zawansowanego firewall’a lub systemu do ochrony aplikacji, posiada konta administracyjne o różnym poziomie uprzywilejowania. Same aplikacje do poprawnego funkcjonowania wymagają połączenia do baz danych, które wymagają uwierzytelnienia. Dowolny system wymaga dzisiaj od nas podania poświadczeń, które będą w stanie określić naszą tożsamość oraz poziom uprawnień. Najbardziej newralgiczne jednak są konta o najwyższym poziomie uprzywilejowania, czyli konta root, czy administratora. To one dają nam pełnie władzy nad systemem. Dodatkowo bardzo często do różnych systemów w firmie wykorzystuje się te same has ł a . Administ rat or def iniuje identyczne na każdym z systemów z osobna lub korzysta się centralnego systemu do uwierzytelniania. Może prowadzić to do sytuacji, w której raz przechwycone hasło posłuży atakującemu wielokrotnie i będzie on w stanie spenetrować całą sieć. Kradzież haseł nie jest niczym niespotykanym w dzisiejszych czasach i dotyczy wielu sektorów rynku. O tym zagadnieniu można między innymi przeczytać na stronie sans.org w artykule „Pass-the-hash attacks: Tools and Mitigation”*. Pierwszy etap rozwiązania Problemem jest sposób zarządzania użytkownikami i ich hasłami, które zdefiniowane są na wielu systemach. Wielokrotnie administratorzy nie mają świadomości gdzie i kto jakie konto posiada. Pracownicy również zmieniają swoje stanowisko w firmie lub z tej firmy odchodzą. Konta niejednokrotnie zostają, zachęcając do ich korzystania już w sposób nieuprawniony. W tym obszarze bardzo ciekawym r oz wią z aniem t ej k we s t ii je s t gama produktów firmy CyberArk. Firma ta oferuje specjalizowaną grupę rozwiązań bezpieczeństwa (Rys. 1, str. 32). Głównym aspektem jest oczywiście proces zarządzania hasłami, który został rozwinięty o funkcje monitorowania i analizy w czasie rzeczywistym sesji administracyjnych. * - https://www.sans.org/reading-room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation-33283 Biuletyn Informacyjny SOLIDEX® 31 TECHNOLOGIE Rys. 1 32 lub w infrastrukturach chmurowych • użytkownik wymagający dostępu do zasobu musi wcześniej uwierzytelnić się w systemie CyberArk . P r o duc ent z ap ewnia wsp ar c ie dla szerokiej gamy mechanizmów, od serwera LDAP, RADIUS po SecurID i inne • użytkownikowi otrzymuje dostęp tylko do systemów do k tór ych ma uprawnienia aby się zalogować • system w tle, dla tego użytkownika i dla sys t emu k t ór y się ł ą c z y pobiera hasło ze skarbca i przesyła je do systemu docelowego • h a s ł o n i g d y n i e z n a j d z i e się na komputerze użytkownika Port folio produktów firmy CyberArk W skład kompleksowej architektury zabezpieczeń wchodzą następujące komponenty: • Enterprise Password Vault • SSH Key Manager • Privileged Session Manager • Application Identity Manager • On-Demand Privileges Manager systemie np. RSA SecurID • rygorystycznej kontroli dostępu Ze wzglądu na swoją rolę, skarbiec powinien pracować na dedykowanych serwerach, a celem zapewnienia jego wysokiej dostępności stosuje się mechanizmy klastrowania lub replikacji Ż adne zło śliwe oprogramo wanie potencjalnie tam działające nie ma możliwości, aby przechwycić hasło podczas wpisywania go przez użytkownika lub odczytać je z pamięci komputera. Przykładowe zastosowanie zostało przedstawione na Rys. 3 S erc em produk tu jest skarbiec (CyberArk Digital Vault® ). Stanowi on centralne repozytorium przechowywanych danych (Rys. 2). Wszystkie w nim dane gromadzone są w sejfach. Każdy sejf posiada dedykowane mechanizmy szyfrowania jak również p a r a me t r y do s t ę pu . W s z e lk ie akc je wykonywane w sk arbc u są audytowane, a plik z logami zabezpieczony jest przed modyfikacją. Warto zwrócić uwagę na fakt wykorzystania szyfrowania hierarchicznego. Każdy obiekt jest wielokrotnie szyfrowany odpowiednio k luc zem obiek tu, kluczem sejfu i kluczem skarbca. System umoż liwia podł ąc zenie do modułu HSM celem separacji miejsca przechowywania klucza od danych, które kluczem zostały zaszyfrowane. Dodatkowo dostęp do sejfu chroniony jest za pomocą: • zapory sieciowej • szyfrowanej komunikacji • uwierzytelniania w zewnętrznym Dysponując działającym skarbcem, konieczne jest bezpieczne pobieranie z niego haseł przez autoryzowanych użytkowników. Do tego celu wykorzystujemy Password Vault Web Access. Jest to aplikacja www, która zapewnia: • dostęp do dowolnych zasobów znajdujących się w naszej firmie Podany przykład opisuje w jaki sposób system działa w przypadku haseł. Nic jednak nie stoi na przeszkodzie aby wykorzystać go do uwierzytelniania kluczami SSH. Rys. 2 Technologia CyberArk Digital Vault® Integrujemy przyszłość® Numer: II/2016 (135) Rys. 3 Etap pierwszy: Enterprise Password Vault Drugi etap rozwiązania Trzeci etap rozwiązania W pierwszym etapie zmieniliśmy podejście do przechowywania haseł, jak również zmianie uległ sam proces dostępu administratora do systemów. Kolejny etap zwraca uwagę na sam proces zarządzania hasłami. Wiemy już, że hasło bezpiecznie jest przesyłane ze skarbca do systemu docelowego, a użytkownik nigdy nie jest w jego posiadaniu. Pozostała nam kwestia zachowania zbieżności haseł w skarbcu z tymi znajdującymi się na systemach docelowych. Tym procesem zarządza Central Policy Manager. Jego podstawowymi zadaniami są: • Zapewnienie zmian haseł w zaplanowanych interwałach • Zachowania złożoności hasła • Wybranie drogi jaką hasło zostanie zmienione (SSH, WMI, …) Finalnie otrzymujemy pewnoś ć , że skonfigurowane konta administracyjne, nie posiadają identycznych haseł zdefiniowanych na różnych systemach. Do tego poziom skomplikowania hasła może być znacznie większy niż ten, jaki jest w stanie zapamiętać człowiek. Mając już system, który zapewnia bezpieczny dostęp użytkownikom uprzywilejowanym do zasobów, nic nie stoi na przeszkodzie aby rozbudować go o nowe możliwości. Dodatkowa licencja umożliwi nagrywanie i analizowanie sesji administracyjnych. System przede wszystkim spowodowuje, że sesje będą: izolowane, kontrolowane, monitorowane. Rys. 4 Sposób, w jaki Producent realizuje tą funkcję, stanowi kolejny wyróżniający się element tego rozwiązania. Od strony administratora, który nawiązuje połączenie, nie muszą nastąpić żadne zmiany sposobie realizacji tego procesu. System może działać z punktu widzenia administratora całkowicie transparentnie. Etap trzeci: Privileged Session Manager Biuletyn Informacyjny SOLIDEX® 33 TECHNOLOGIE O c z ywi ś c ie maj ą c na uwad z e to, że system zapewnia izolację połączenia przez zestawienie dwóch niezależnych sesji pomiędzy komputerem administratora, a systemem CyberArk PSM, a pomiędzy PSM a stacja docelową, które to wymaga parametryzacji klienta zestawiającego połączenie. Istotą jest to, że system wspiera ogromną gamę systemów docelowych, do których możemy się łączyć. Od standardowych sesji ssh i rdp, po sesje bazodanowe sql, klientem toad, czy Microsoft SQL Studio. Docelowo możemy uzyskać system, który nie posiada ograniczeń w tym zakresie, ponieważ Producent udostępnia język skryptowy, w którym możemy opisać proces logowania do dowolnego (nawet napisanego przez nas) systemu. W zakresie swoich możliwości warto jeszcze zwrócić uwagę na: • przerywanie aktualnie trwających sesji • nagrywanie sesji i zapisywanie jej w formie zaszyfrowanej w skarbcu • dodawanie metadanych do nagrań które umożliwią szybkie ich przeszukiwanie i analizę • analizę poleceń wykonywanych przez administratora z możliwością ich zablokowania jeśli są one potencjalnie niebezpieczne. Przykładowe zastosowanie zostało przedstawione na Rys.4 (str. 33). Czwarty etap rozwiązania Wracamy do zagadnienia początkowego. Hasła, a co za tym idzie kont a u ż yt kowników z najdują się w każdym zakamarku naszej sieci. W etapie pierwszym wspomniałem o zasobach, do których administratorzy łączą się w ramach swoich codziennych obowiązków. Nie jest to jedyny aspekt, który należy wziąć pod uwagę w procesie budowania polityki zarządzania hasłami i kontami. Osobny rozdział stanowią aplikacje, które do poprawnego funkcjonowania łączą się również do baz danych czy do innych aplikacji, aby pobrać 34 Rys. 5 Etap czwarty: Application Identity Manager lub zapisać informacje. Problem jest istotny, ponieważ dane logowania są często trzymane jawnym tekstem w kodzie aplikacji. Z biegiem rozwoju aplik ac ji z a z wyc z aj z ap omina się gdzie, w którym pliku nasza aplikacja nawią zuje połączenie. Po stronie zewnętrznych systemów ustalone raz hasło, nie zmienia się przez wiele lat funkcjonowania aplikacji w obawie pr zed moż liwymi problemami, które mogą wystąpić w jej działaniu. W tym etapie CyberArk proponuje rozwiązania Application Identity Manager. Jest to API, które wykorzystujemy w kodzie aplikacji, aby pobierać informacje o użytkowniku na prawach k tórego nawią zuje po ł ąc zenie . Ponownie i w tym przypadku dane przechowywane są bezpiecznie w skarbcu i nikt , włączając w to deweloperów, nie jest świadomiy tego hasła. Przykładowe zastosowanie zostało przedstawione na Rys. 5. Konkluzja Opisane systemy cieszą się coraz wię k sz ym z aint eresowaniem na polskim rynku. Coraz więcej firm zwraca uwagę na problem haseł i kont uprzywilejowanych. Istnieje kilka rozwiązań tego typu na rynku, ale żadne w takim zakresie nie prowadza kontroli w proces zarządzania kontami uprzywilejowanymi jak również analizy sesji Integrujemy przyszłość® administracyjnych. Najważniejsze zalety rozwiązania CyberArk: • skarbiec, który chroni dane w nim przetrzymywane w szczególności hasła • pe ł na separacja sesji administracyjnych pomię dzy klientem a serwerem docelowym • w firmie można zrezygnować lub mocno ograniczyć ilość serwerów przesiadkowych (jump server) • n a w i ą z a n i e s e s j i z d a l n e g o dostępu następuje w ten sam sposób jak do tej pory — inne są tylko parametry połączenia • og r omna ilo ś ć w spie r a nyc h protokołów/aplikacji • możliwoś ć dodania własnych aplikacji • wykrywanie haseł w aplikacjach • moduł umożlwiający rezygnację z implementacji hase ł w kodzie aplikacji Je ś li nie m a my ś w ia d o m o ś c i w jakim zakresie problem nas dotyczy, CyberA rk udost ępnia dar mowe narzędzia na analizy naszej sieci. CyberArk Discover and Audit (DNA), skanuje naszą sieć i wskazuje jak duża jest skala problemu. Wyniki dostępne są w postaci raportu który może pomóc przy podjęciu kolejnych kroków eliminacji problemu. Opracowano na podstawie oficjalnych materiałów producenta. T.P. Numer: II/2016 (135) ASA z usługami FIREPOWER (c.d.), cz.II - projektowanie System Firewall jest istotnym elementem infrastruktury bezpieczeństwa sieciowego każdej firmy. Wybór odpowiedniej platformy jest więc bardzo ważny niezależnie od tego, czy wybieramy dla małej firmy czy ogromnej korporacji telekomunikacyjnej. Którą platformę wybrać? Wybór rozwiązania firewall należy rozpocząć od sformułowania kilku podstawowych pytań technicznych oraz biznesowych: • Ile użytkowników liczy a ilu będzie liczyć za rok ? • O c hr ona ma dot yc z y ć t ylko u ż yt kowników c z y t e ż c a ł ego firmowego Data Center ? • Ilu pracowników będzie pracować z sieci zewnętrznych ? • Ile sie c i V P N b ę d z ie t r zeba uruchomić ? • C z y k lient posiada oddz ia ł y lub biura regionalne ? Ile placówek ? • Czy chce posiadać połączenia Site to Site ? Ile sesji i jaka topologia ? • Czy oddziały działają autonomicznie, czy też korzystają z centralnego serwera ? • Czy przepustowość łącza internet owego s t anowi dla k lient a poważny problem ? Jeżeli tak to czy nie wprowadzić zarządzania pasmem sieciowym QoS ? • Czy serwer pocztowy jest krytyczny dla działalności klienta ? Jeżeli tak to firewall powinien działać jako centralny system antywirusowy, antyspam, filtrowanie adresów i wykrywanie prób włamać ? • Jak wydajnego rozwiązania klient potrzebuje ? • Ile interfejsów sieciowych powinien mieć firewall, aby zapewnić bezproblemowe wdrożenie i zapas portów na dłuższy czas ? • Ile polityk systemowych będzie na firewallu ? Odpowiedzi na te wszystkie zagadnienia pomogą w doborze odpowiedniego urządzenia dla różnych klientów. Dobór segmentu portfolio do wielkości Firmy: Wybór optymalnego systemu firewall jest zależny od wielu czynników: wielkości chronionej instalacji, oczekiwanych funkcjonalności ( VPN, IS, zarządzanie pasmem), aktualnie posiadanych zasobów sprzętowych, wreszcie Wielkość Firmy Typowe cechy i wymagania Kategoria dla ASA Firma bardzo mała, zatrudniająca do 20 osób Minimalne zaangażowanie w bieżącą administrację systemem firewall. Prostota konfiguracji. SOHO Firma mała zatrudniająca 50 osób Średnie zaangażowanie w sprawy administracji systemem firewall. Firmowy serwer Email i WWW wewnątrz sieci. BRANCH Office Firma średnia zatrudniająca 100 – 150 osób Zatrudniony administrator odpowiedzialny za bezpieczeństwo. Firmowy serwer Email i WWW wewnątrz sieci. INTERNET EDGE Firma duża zatrudniająca powyżej 250 osób Zatrudnionych co najmniej dwóch administratorów bezpieczeństwa. Alternatywne łącze do Internetu. Firmowy serwer Email i WWW wewnątrz sieci. Polityka bezpieczeństwa dotycząca treści: obejmuje CAMPUS dokumenty Email, zasady korzystania z zasobów WWW, itp. Firma telekomunikacyjna, dostawca usług ASP lub ISP Tab. 1 Zatrudniony zespół administratorów bezpieczeństwa. Kilka alternatywnych łącz do Internetu. Zarządzanie zbiorem polityk bezpieczeństwa. Monitorowanie ruchu. Duże przepływności. DATA CENTER and ISP Zestawienie FIRMA/SEGMENT RYNKU Biuletyn Informacyjny SOLIDEX® 35 ROZWIĄZANIA Feature Cisco ASA 5512-X Cisco ASA 5515-X Cisco ASA 5525-X Cisco ASA 5545-X (Cisco ASA 5555-X) Maximum application control (AVC) throughput 300Mbps 500Mbps 1100Mbps 1500Mbps (1750Mbps) Maximum paalication control (AVC) and IPS throughput 150Mbps 250Mbps 650Mbps 1000Mbps (1250Mbps) Maximum concurrent sessions 100000 250000 500000 750000 (1000000) Maximum New Connections per second 10000 15000 20000 30000 (50000) Application control (AVC) or IPS sizing throughput [440 byte HTTP] 10Mbps 150Mbps 375Mbps 575Mbps (725Mbps) Supported applications More than 3000 URL categories 80+ Number of URLs categorized More than 280 milion Centralized configuration, logging, monitoring and reporting Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center Cisco ASA 5585-X SSP-10 w Cisco ASA 5585-X SSP-20w Cisco ASA 5585-X SSP-40w Cisco ASA 5585-X SSP-60w Maximum application control (AVC) throughput 4,5Gbps 7Gbps 10Gbps 15Gbps Maximum paalication control (AVC) and IPS throughput 2Gbps 3,5Gbps 6Gbps 10Gbps Maximum concurrent sessions 500000 1000000 1800000 4000000 Maximum New Connections per second 40000 75000 120000 160000 Application control (AVC) or IPS sizing throughput [440 byte HTTP] 1,2Gbps 2Gbps 3,5Gbps 6Gbps Supported applications More than 3000 URL categories 80+ Number of URLs categorized More than 280 milion Centralized configuration, logging, monitoring and reporting Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center Memory 24GB Minimum flash 8GB Managment and monitoring interface 2 Ethernet 10/100/1000 ports 24GB 48GB ASA 5506-X / Security Plus ASA 5506W-X / Security Plus ASA 5506H-X / Securiy Plus ASA 5508-X Stateful inspection throughput (max) 750Mbps 750Mbps 750Mbps 1Gbps Stateful inspection throughput (multiprotocol) 300Mbps 300Mbps 300Mbps 500Mbps Maximum application visability and control (AVC) throughput 250Mbps 250Mbps 250Mbps 450Mbps Maximum AVC and NIGIPS throughput 125Mbps 125Mbps 125Mbps 250Mbps Maximum concurrent sessions 20000/50000 20000/50000 50000 100000 Maximum new connection per second 5000 5000 5000 10000 Application control (AVC) or NIGIPS sizing [440byte bytTP] 90Mbps 90Mbps 90Mbps 200Mbps Packets per second (64 byte) 246900 246900 246900 694000 Tab. 2 36 12GB Specyfikacje techniczne ASA Integrujemy przyszłość® Numer: II/2016 (135) Zakres funkcjonalności ASA z FIREPOWER. ASA implementując rozwiązania firmy SourceFire dysponuje wieloma rozwiązaniami z zakresu Next Generation Firewall: - Tab.3. Typową topologię wdrożeń systemu przedstawiają Rys.:1-4. Podsumowanie Rys.1 Rys.2 Rys.3 ASA w trybie transparentnym Rys.4 ASA w trybie Multi-Context ASA w segmencie agregacji ASA w trybie wys. dostępności kosztów jakie gotowi jesteśmy ponieść. Można jednak przedstawić kilka reguł i ścieżek postępowania -w zależności od wielko ś c i pr zedsię bior s twa i typowych dla niego oczekiwań - Tab.1 (str. 35). Parametry techniczne urzędzeń prezentuje Tab.2. Jeżeli już wiemy, w którym segmencie rynku znajduje się klient, możemy przejść do analizy poszczególnych parametrów ASA z danych znajdujących się w Tab. 2 oraz sklasyfikować potrzeby wydajności sieci klienta do pr op onowa ne go pr z e z na s rozwiązania. Cisco wraz z wejściem na rynek z produktem NGF W goni rynek security. Asa z usługami Firepower to rozwiązanie łączące znane zapory sieciowe Cisco z zaawansowanym oprogramowaniem Sourcefire NextGeneration IP S oraz Advanced Malware Protection co stworzyło kompletny, zintegrowany system bezpieczeństwa dla każdego segmentu klientów. Rozwiązanie pozwala na istotne zwiększenie ochrony systemów IT, od centrów przetwarzania danych, przez całościową infrastrukturę przedsiębiorstwa, do punktów końcowych. Umożliwia kompleksowo identyfikację, zrozumienie i blokowanie zaawansowanych zagrożeń w czasie rzeczywistym, a także ich retrospektywną analizę. Opracowano na podstawie oficjalnych materiałów producenta. M.G. Usługi FIREPOWER Opis AVC Jest to ochrona przed zaawansowanymi zagrożeniami Application Visibility and Control. AVC wspiera ponad 3000 aplikacji w warstwie 7 oraz klasyfikuje ryzyko wystąpienia zagrożenia bazując na politykach IPS co optymalizuje efektywność zabezpieczeń NGIPS Funkcja współpracuje z AVC, aby w pełni wspierać zapobieganie zagrożeniom dotyczących użytkowników, infrastruktury, aplikacji poprzez odniesienie do kontekstu, co umożliwia wczesną automatyczną obronę przed zagrożeniem URL Bazuje na reputacji i kategoriach filtrów URL. Posiada wczesne alarmowanie i zapewnia kontrolę nad podejrzanym ruchem www. Baza posiada wpisy setek milionów adresów URL w ponad 80 kategoriach. AMP Posiada detekcję włamań i oferuje efektywną ochronę do zatrzymania malwaru i innych zagrożeń znajdujących się na innych warstwach zabezpieczeń FireSIGHT Jest to scentralizowana konsola zarządzająca i repozytorium bazy danych zdarzeń. Potrafi automatycznie agregować i korelować intruza, pliki, malware, połączenia i wydajność wygenerowana przez samą Cisco ASA z usługami FIREPOWER Tab. 3 Usługi FIREPOWER Biuletyn Informacyjny SOLIDEX® 37 ROZWIĄZANIA Szyna wymiany informacji Intel Security McAfee Data Exchange Layer (DXL) Zebranie razem wszystkich informacji o zagrożeniach z autonomicznych systemów bezpieczeństwa pozostaje wciąż dużym wyzwaniem. Dzielenie się szczegółowymi detalami o incydentach, wynikami śledztw na temat ataków oraz odpowiadanie na nie jest wciąż procesem wysoce manualnym, a integracja produktów typu point-to-point jest bardzo czasochłonna i trudna do utrzymania patrząc z perspektywy czasu i kolejnych aktualizacji urządzeń. DXL McAfee Data Exchange Layer (DXL) unifikuje rozproszone rozwiązania różnych producentów aby umożliwić natychmiastową komunikację i współpracę. Jest to dwukierunkowa, otwarta platfor ma ł ąc z ąc a systemy DXL Brokers Podstawową jednostką budującą architekturę DXL są komponenty znane jako DX L broker s . Ł ąc z ą w sobie rolę przyjmowania wiadomości od klientów i routowania ich dalej. Wszyscy klienci DXL łączą się bezpośrednio do brokera i utrzymują stałe połączenie tak długo, jak należą do DXL . Dodatkowo, wszystkie brokery muszą utrzymywać połączenie Pojęcie Definicja DXL Data Exchange Layer DXL Broker klienci łączą się do DXL Broker aby należeć do sieci DXL. Cała komunikacja DXL odbywa się poprzez DXL Broker DXL Clients jakiekolwiek urządzenie podpięte do sieci DXL nie świadczące usług routingu bądź przekazywania wiadomości DXL ePO Endpoint Policy Orchestrator – wielofunkcjonalny serwer do zarządzania i raportowania bezpieczeństwa stacji końcowych Fabric połączona sieć DXL Broker używana do przesyłania informacji i podłączania do DXL Hub dwa DXL Broker połączone w jeden wirtualny byt dla zapewnienia HA MQTT protokół wymiany wiadomości do używania „na górze” protokołu TCP/IP oparty o model publisher-subscriber – podstawa do stworzenia protokołu DXL Services komponenty, które używają DXL do komunikacji. Przykładami są takie usługi jak TIE czy Active Response TIE Client klienci zarządzani przez ePO korzystający z usług serwera TIE TIE Server serwer TIE (lokalna baza reputacji) Topic topic można interpretować jako URL w sieci DXL. Jest to miejsce, gdzie usługi publikują konkretne metody. Kiedy klient łączy się do DXL powiadamia Broker, jakie topics go interesują. Tab. 1 38 bezpieczeństwa w jeden ekosystem. Pojęcia związane z DXL zebrane zostały w Tab. 1. Słownik pojęć Integrujemy przyszłość® Numer: II/2016 (135) Rys. 1 Zarys protokołu DXL z usługami TIE, ATD i ePO ePO, zawiera ona certyfikat i klucz do uwierzytelnienia do DXL broker oraz list ę brokerów. Najbliż szy broker ustalany jest za pomocą liczby przeskoków ICMP. Jeżeli protokół ICMP jest wyłączony w środowisku, klient będzie się łączył do brokerów metodą round-robin. do najbliższego brokera i prosi o listę subskrybowanych tematów (topics). Gdy komunikacja jest już ustalona, broker jest obciążony odpowiedzialnością przekazywania wiadomości w od klientów do serwisów w DXL i wiadomości zwrotnych (Rys. 1). Client Broker Connections DXL Clients Połączenie od klienta jest wspierane zarówno przez NAT jak i zapory sieciowe. Można interpretować je jak połączenie webowe SSL. Klient musi być w stanie rozwiązać trasę do serwera, natomiast serwer nie musi znać trasy powrotnej bezpośrednio do klienta. Gdy połączenie zostanie zestawione, broker może kierować wiadomości bezpośrednio do klienta poprzez wc ześniej zainicjowane połączenie. Kiedy klient podłącza się do sieci DXL, tworzone są trwałe połączenie do najbliższego brokera i utrzymują sesję TCP/IP do niego tak długo, jak są podłączeni do sieci. Kiedy klient otrzymuje politykę DXL od serwera Połączoną sieć wielu DXL broker nazywamy DXL Fabric. Komunikacja DXL broker-to-broker jest kierunkowa i odbywa się na tym samym porcie (8883) co komunikacja klientów. Na p o c z ą t k u k lie nt ł ą c z y si ę między sobą, odkrywać i utrzymywać usługi. Kiedy klient prosi o daną usługę, obowiązkiem DXL broker jest przekazanie jej dalej. W iadomo ś c i DX L s ą dos t ę pne w dwóch formach: • 1-1 – jest to konkretna wiadomość w danej usłudze. Przykładem może być zapytanie o reputację albo aktualizacja bazy danych • 1-Many – jest to wiadomoś ć broadcast do wszystkich zainteresowanych klientów/usług. Przykładem może być zmiana reputacji pliku lub prośba, aby wybrani klienci wykonali akcję (usunięcie pliku, itd.) Biuletyn Informacyjny SOLIDEX® Client Broker Connections jest opcją polityki ePO po stronie klienta, która zapewnia kilka dodatkowych opcji modyfikowania, jak klienci łączą się do sieci DXL. Klient może być ograniczony do połączeń tylko do konkretnego brokera, huba lub gałęzi sieci. Klienci mogą być również skonfigurowani w sposób wymuszający podłączenie do konkretnej części sieci, ale jednocześnie utrzymują możliwość podłączenia się gdzie indziej w przypadku, gdy dany segment sieci będzie niedostępny. Domyślne ustawienia Client Broker Connections nie posiadają żadnych ograniczeń i są rekomendowanym ustawieniem. 39 ROZWIĄZANIA DMZ Brokers Co natomiast z klientami spoza naszej organizacji próbującymi się przyłączyć do sieci DX L ? Dla nich zost ał y stworzone brokery ustawione w DMZ, które zapewniają komunikację DXL w stronę Internetu. Brokery w DMZ muszą mieć publiczne System Name (Published System Name) i publicznie udostępniony adres IP (Published IP Address) ustawione w zakładce DXL Topology. Kiedy te dwa parametry są obecne, wszystkie połączenia wykonywane do tych brokerów będą używały tych wartości zamiast wewnętrznie raportowanych. Ż adna dodatkowa konfigurac ja nie jest wymagana, aby korzystać z z ale t br oker ów DM Z . St ac je końcowe z zewnątrz naszej organizacji nie będą w stanie zobaczyć żadnych wewnętrznych brokerów poza tymi w DMZ i będą się łączyły domyślnie z najbliższym z nich. Hubs W rozwią zaniu nie zapomniano również o fakcie, że w świecie IT ws z ys t ko mo ż e z awie ś ć . Dwa brokery mogą zostać połąc zone razem w celu stworzenia huba. Hub dodaje funkcjonalność rozkładania ruchu między jego członków oraz zapewnia wysoką dostępność w konfiguracji active/active. Kiedy hub jest stworzony, klienci losowo wybiorą konkretny broker i przełączą się na drugi w razie awarii. Ogólną zasadą jest, że każdy broker posiadający potomka (ang. children) powinien w zamian być hubem, aby uniknąć pojedynczego punktu awarii spowodowanego podz ieleniem s i ę f a b r i c a . D o d a t k o w o , hu b powinien być utworzony wszędzie t am, gdzie istnieje koniec znoś ć połąc zenia kilku gałęzi fabrica. 40 Dla przykładu, Root Hub będzie hubem ustawionym, by zapewniać komunikację między wszystkimi gałęziami fabrica. Istotnym jest, aby ten punkt był hubem, a nie pojedync zym brokerem – awaria jednego z brokerów w hubie nie spowoduje niepożądanej fragmentacji fabrica. Service Zones Stefy usług (ang. Service Zones) istnieją, aby zapewnić, że usługi dostarczane są przez lokalne zasoby. Strefa usług może być przypisana do brokera albo huba. Strefa zawiera wybranego brokera lub huba wraz z jego potomkami, nawet jeżeli one same mają swoje strefy usług. Wsz ystk ie z apyt ania twor zone są najpierw w zawieranej strefie, a następnie przesyłane są do góry, do wyższych stref usług, aż pożądana usługa zostanie odnaleziona. Jako przykład rozważmy klienta, który działa w regionie Europy oraz Azji. Powinien on w swojej topologii rozważyć dwie strefy usług – po jednej Rys. 2 Topologia z podziałem na strefy Integrujemy przyszłość® na każdy region. Jeżeli w Europie występują dwa główne centra danych, najlepszym rozwiązaniem byłoby zaimplementowanie oddzielnych stref usług dla każdego z centrum. Europejska strefa usług zawierałaby wtedy dwie strefy usług w centrach danych. Zapytanie przychodzące do jednej ze stref w europejskich data center byłoby najpierw routowane do usług w tej strefie. Jeżeli usługa nie zostałaby tam odnaleziona, odpytana zostałaby wyższa strefa usług – europejska. W przypadku, gdyby poszukiwania w tej strefie również zawiodły, cały fabric zostałby przeanalizowany w poszukiwaniu usł ugi zdolnej obsłużyć to zapytanie. Przykładowa topologia z podziałem na strefy usług znajduje się na Rys. 2. Dla prostej konfiguracji nie potrzebujemy stref usług. Jeżeli implementujemy tylko kilka brokerów i jedną parę serwerów TIE, nie ma potrzeby limitowania, gdzie dane usł ugi są dostępne. Używajmy stref tylko na potrzeby zapewnienia klientom dostępu do usług najbliżej ich lokalizacji. Numer: II/2016 (135) Rys. 3 Przykładowy zaawansowany projekt DXL fabric Pamiętajmy też, że nie wszystkie usługi muszą znajdować się w każdej ze stref, jako że wiele z nich będzie miało pojedyncza instancję, która z natury jest globalna Łączenie DXL Fabrics Z wypuszc zeniem DXL w wersji 1.1 i późniejszych, możemy łączyć wiele DXL fabric zarządzanych przez oddzielne instancje ePO. Kiedy fabric są połączone (ang. bridged) klienci mogą podłączyć się do dowolnego brokera w tej spójnej sieci i dzielić się usługami DXL. Podczas łączenia fabriców rekomendowane jest, aby istniał top-level (root) hub dedykowany do terminowania połączeń i przekazywania ich. Diagram na Rys. 3 pokazuje jak taka topologia powinna wyglądać. Root hub powinien być skonfigurowany tak, aby nie akceptować połączeń klienckich, a powinien świadczyć funkcjonalności routowania wiadomości pomiędzy dwoma połączonymi fabricami. Podsumowanie Technologia DXL może w przyszłości zmienić sposób, w jaki komunikują się między sobą urządzenia bezpieczeństwa. Z doświadczenia wiem, że komunikacja po sieci DXL daje niesamowicie niskie opóźnienia w przesyłaniu krytycznych informacji integrując ze sobą wiele systemów jednocześnie. Firma Intel Security stale rozbudowuje bazę vendorów, Biuletyn Informacyjny SOLIDEX® którzy będą mogli korzystać z zalet tego rozwiązania, sprawiając, że nawet multi-vendorowe środowisko będzie mogło być niedługo zamienione w jeden spójny ekosystem. To z kolei zapewni nam płynną i błyskawiczną wymianę informacji o incydentach bezpieczeństwa, co jeszcze bardziej wzmocni naszą obronę przed zagrożeniami zarówno z zewnątrz, jak i tymi wewnętrznymi. Opracowano na podstawie oficjalnych materiałów producenta. K.O. 41 ROZWIĄZANIA Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server W dzisiejszych czasach firmy są rozproszone geograficznie, a kontakt z klientem często realizowany jest na odległość. Ludzie nie mają czasu na ciągłe podróże, więc bardzo ważnym elementem jest możliwość płynnej komunikacji. Dawniej do realizacji spotkań na odległość wykorzystywano telefony oraz pocztę elektroniczną. Obecnie technologie te są niewystraczające ze względu na rozwijające się zapotrzebowanie na przekazywanie informacji. Rozwój Internetu zaowocował stworzeniem wielozadaniowego narzędzia jakim jest WebEx, który umożliwia nawiązywanie multimedialnych wideokonferencji. Funkcjonalność WebE x Meet ing S er ver je s t bezpiecznym narzędziem do nawiązywania konferencji audiowizualnych wysokiej jakości. Obraz transmitowany jest w jakości HQ 360p. Po zainstalowaniu kilku dodatkowych narzędzi ze strony Producenta można w pełni korzystać z funkcjonalności WebEx-a. Spotkania realizowane są za pomocą konsoli konferencyjnej WebEx Meeting Application na komputerach PC (Rys. 1) i komputerach Apple z systemem iOS. Za jej pomocą można uczestniczyć w spotkaniach audiowizualnych, współdzielić ekran w celu prezentacji materiałów innym użytkownikom, 42 wysyłać pliki oraz nagrywać konferencję. Dostępny jest tak że czat, Rys. 1 Panel konferencyjny Integrujemy przyszłość® na k tór ym porozumiewamy się za pomocą wiadomości tekstowych. Numer: II/2016 (135) Rys.2 Aplikacja WebEx w systemie Android Is t niej ą r ównie ż de dykowa ne aplikacje na urządzenia mobilne Apple i urządzenia z system operacyjnym Android (Rys. 2), które są dostępne do pobrania bezpośrednio w Apple Market oraz Android Market. Aplikacja umożliwia rozmowy audiowizualne, korzystanie z czatu i nagrywanie spotkań. Bardzo przydatną funkcją WebEx-a jest możliwość integracji go z pr og r a me m M S O u t lo ok (Rys. 3) poprzez wykorzystanie Productivity Tools. Instalacja tego narzędzia umożliwia tworzenie konferencji z poziomu programu pocztowego. Dodatkowo otrzymujemy plugin WebEx A ssistant (Rys. 4), który znajduje się w menu rozwijanym dolnego paska systemu Windows. Korzysta on z mechanizmów MS Outlook, dzięki czemu można również wykorzystać go do tworzenia spotkań. Czasami istnieje potrzeba odtworzenia danego spotkania lub chęć dodania go na portal internetowy, na przykład w celach szkoleniowych. W takim przypadku przyjdzie nam z pomocą WebEx Network Recording Player (Rys. 5). Jest to program umożliwiający odtwarzanie i pobieranie nagranych konferencji w formacie .arf. Jest to niestandardowy format, ale program oferuje konwersję na jeden z trzech formatów obsł ugiwanych przez większość urządzeń : WMV (Windows Media), SWF (Flash) i MP4 (MPEG4). Oprócz nagranego dźwięku i obrazu jest także podgląd czatu oraz dokładny przebieg czasowy wszystkich zdarzeń, które wystąpiły podczas spotkania. Spotkania w systemie WebEx mogą być tworzone czterema metodami: za pomocą portalu Internetowego, pluginu WebEx Assistant, poczty elektronicznej MS Outlook oraz aplikacji mobilnej. Jeżeli chodzi o trzy pierwsze metody to mamy możliwość utworzenia spotkań ad-hoc - czyli rozpoczynających się w chwili obecnej - oraz planowanych, czyli Rys.3 WebEx w MS Outlook Rys. 5 Network Recording Player Biuletyn Informacyjny SOLIDEX® Rys.4 WebEx Assistant rozpoczynających się w przyszłości. Jeśli chodzi o aplikacje mobilne, nie ma tutaj rozróżnienia na spotkania ad-hoc i planowane. W obu przypadkach procedura tworzenia konferencji jest taka sama. Ponadto WebEx Meeting Server daje możliwość integracji z systemem telefonii IP oraz urządzeniami działając ymi w sieci P S TN wykorzystując Cisco Unified Communication 43 ROZWIĄZANIA Rys. 6 Architektura systemu WebEx Manager. Połączenia realizowane są poprzez usługę SIP Trunk, która wykorzystuje sieć IP do realizacji połączeń przychodzących i wychodzących. Taka integracja powoduje, że urządzenia w sieci PSTN mogą zdzwaniać się z systemem WebEx, jak i są osiągalne przez system. Należy zaznaczyć, że ten sposób komunikacji umożliwia obecnie jedynie transmisję dźwięku, bez transmisji wideo. Architektura systemu Cisco WebEx Meeting Server jest zwir tualizowaną usł ugą opar t ą na oprogramowaniu Cisco Unified Computing System oraz VMware. Architektura systemu (Rys. 6) składa Rys. 7 44 się z szeregu współpracujących ze sobą maszyn wirtualnych : • Administration VM: Jest to centrum zarządzania całym systemem. Zawiera bazę danych systemu i zapewnia funkcje administracyjne • Media VM: Zapewnia usługi multimedialne (funkcje audiowizualne, obsługa telefonów i spotkań). Media VM zawarte jest w Administration VM dla 50 jednoczesnych użytkowników • Web VM: Zapewnia użytkownikom i adminis t r at or om mo ż liw o ś ć logowania się do systemu i korzystania z niego poprzez platformę Internetową. Web VM zawarte jest w Administration VM dla 50, 250 oraz 800 jednoczesnych użytkowników systemu Przykład redundantnego systemu dla 50 użytkowników Integrujemy przyszłość® • Reverse Proxy: Zwiększa bezpieczeństwo firmy korzystającej z systemu WebEx. Umożliwia użytkownikom mobilnym dostęp do usługi poprzez łącze publiczne (Internet) Dla małych rozmiarów systemu większość funkcji realizowane jest w jednej masz ynie wir tualnej, natomiast dla większych muszą zostać stworzone osobne maszyny dla każdej z funkcji. System oferuje cztery pojemności : 50, 250, 800 i 2000 jednoczesnych uczestników. Maksymalna pojemność systemu oraz jego skalowalnoś ć z ale ż nie od r oz miar u z najduje się w Tab. 1 . Numer: II/2016 (135) Wirtualne maszyny Liczba rdzeni na serwerze z procesora oprogramowaniem (2.4 GHz lub więcej) ESXi Pamięc RAM (GB) Porty Ethernetowe Wymagana pojemność dysku twardego Wymagania dla systemu o pojemności 50 użytkowników Admin 4 (ESXi 5.0), 6 (ESXi 5.1 +) 24 2 do Admin VM i 1 ESXi 1.5 TB, 7200 RPM Admin i vCenter 6 (ESXi 5.0), 8 (ESXi 5.1+) 36 2 do Admin VM, 1 dla vCenter i 1 do ESXi 1.5 TB, 7200 RPM Reverse Proxy 4 (ESXi 5.0), 6 (ESXi 5.1+) 12 2 do Reverse Proxy VM i 1 do ESXi 300 GB, 7200 RPM Admin i Reverse Proxy 8 36 2 do Admin VM, 2 do Reverse Proxy VM i 1 do ESXi 1.5 TB, 7200 RPM 40 2 do Admin VM, 2 do Reverse Proxy VM, 1 do vCenter i 1 do ESXi 1.5 TB, 7200 RPM Admin, Reverse Proxy 12 Wymagania dla systemu o pojemności 250 użytkowników Admin i Media 12 52 2 do Reverse Proxy VM, 1 do vCenter i 1 do ESXi 1.5 TB, 7200 RPM Admin, Media i vCenter 16 56 2 do Admin VM oraz Media VM, 1 dla vCenter i 1 do ESXi 1.5 TB, 7200 RPM Reverse Proxy 12 36 2 do Reverse Proxy VM i 1 do ESXi 300 GB, 7200 RPM Wymagania dla systemu o pojemności 800 użytkowników Admin i Media 40 80 2 do Admin VM oraz Media VM i 1 ESXi 1.5 TB, 10000 RPM Reverse Proxy 40 36 2 do Reverse Proxy VM i 1 do ESXi 300 GB, 10000 RPM Wymagania dla systemu o pojemności 2000 użytkowników Admin i Media 40 80 2 do Admin VM oraz Media VM i 1 ESXi 1.5 TB, 10000 RPM Media i Web 40 80 2 do Media VM oraz Web VM i 1 do ESXi 1.5 TB, 7200 RPM Reverse Proxy 40 36 2 do Reverse Proxy VM i 1 do ESXi 300 GB, 10000 RPM Tab. 1 Tabela informacyjna / wymagania dla systemów Biuletyn Informacyjny SOLIDEX® 45 ROZWIĄZANIA Możliwe jest również stworzenie systemu w wersji redundantnej poprzez wykorzystanie szeregu maszyn wirtualnych (High-availability system). Jeżeli system podstawowy ulegnie awarii, wtedy HA będzie kontynuował działanie usługi. Rys. 7 (str. 44) prezentuje przykład redundantnego systemu dla 50 użytkowników. Kwestia bezpieczeństwa Istotną cechą systemu jest kwestia bezpiec zeństwa. Aby zwiększyć bezpieczeństwo WebEx, wdraża się tzw. Reverse Proxy, który kontroluje p o ł ą c z e nia z s ie c i p ub lic z n e j (Internetu). Jest to serwer pośredniczący w wymianie danych pomiędzy u ż ytkownik iem a systemem WebEx. Dzięki takiemu rozwiązaniu użytkownicy korzystający z Internetu nie mają bezpośredniego dostępu do sieci firmowej. Na wewnętrznym firewallu nie ma otwartych żadnych portów, więc sieć nie jest narażona na niebezpieczeństwo z zewnątrz. S esje u ż ytkownika końc owego szyfrowane są za pomocą protokołów SSL i TLS, co uniemożliwia podsłuchanie konferencji. Dotyczy to zarówno strumienia audio oraz wideo, a tak że prezentowanych materiałów i wysyłanych plików. W WebEx-ie korzysta się również z c e r t yf ik a t ów, k t ór e z ap e w niają be z pie c z ną komunik ac je pomiędzy elementami systemu. Do tworzenia certyfikatów używane się funkcje haszujące (SHA) i klucze pr ywatne ( R S A ). C isc o WebEx Meeting Ser ver wspiera cer tyfikaty zgodne ze standardem X.509 z kodowaniem PEM i DER oraz z wykor zyst aniem szyfrowania PKSC12. WebEx Meeting Server umożliwia korzystanie z usług katalogowych wykor z ys tując pr ot okó ł L DA P do zarz ądzania u ż ytkownikami i uwierzytelniania. Dzięki temu u ż yt kownik uz yskuje dost ę p do systemu używając na przykład firmowego adresu e-mail jako loginu oraz hasła takiego jak w usłudze Active Directory. Wymagania sprzętowe Jak w każdym systemie wideokonferencyjnym, tak i tutaj istnieje kwestia minimalnych wymagań sprzętowych -kiedy WebEx będzie działał prawidłowo. Tab. 1 prezentuje odpowiednie wymagania z uwzględnieniem pojemności systemu : 50, 250, 800 i 2000 użytkowników. Podsumowanie WebE x Me e t ing je s t bar d zo dobrym narzędziem do pracy online w firmach składających się z wielu rozproszonych oddziałów. Do prawidłowego działania usługi potrzebny nam jest jedynie dostęp do Internetu W dużych korporacjach do zalogowania się do systemu WebEx wykorzystuje się dane z Active Directory. Cisco 46 Integrujemy przyszłość® i odpowiednio skonfigurowane urządzenie mobilne lub komputer PC. WebEx pozwala na szybką i niezawodną komunikację. System jest bardzo elastycznym rozwiązaniem. Może z niego korzystać od kilku do 2000 jednoczesnych użytkowników. Opracowano na podstawie oficjalnych materiałów producenta. N.J. Numer: II/2016 (135) RSA Advanced SOC Zarządzanie środowiskiem informatycznym staje się coraz większym wyzwaniem. Wraz z wzrostem technologii wzrasta również trudność ochrony zasobów. Zespoły bezpieczeństwa potrzebują inteligentnych systemów do zarządzania, monitorowania i chronienia krytycznych danych. Rozwiązania oparte na sygnaturach i statycznej ochronie obecnie nie wystarczają do zapobiegania atakom. Potrzebne są nowe rozwiązania zapewniające całkowity przegląd środowiska informatycznego oraz analizujące zewnętrzne źródła informacji o zagrożeniach. RSA staje naprzeciw tym wyzwaniom i oferuje zaawansowane centrum ds. bezpieczeństwa (ang. Advanced Security Operation Center – ASOC) czyli zintegrowany zestaw narzędzi do wczesnego wykrywania ataków oraz podejmowania odpowiednich decyzji. Architektura Budowa ASOC polega na interaktywnym wykorzystaniu narzędzi pr ze z ze spo ł y be z pie c ze ń s t wa w celu stworzenia miejsca, gdzie dane pozyskane z wielu źródeł zbudują przejrzystość organizacji oraz pozwolą na zidentyfikowanie najbardziej zagrożonych miejsc i zabezpieczeniu ich. Rys. 1 przedstawia model systemu analityki bezpieczeństwa, który jest podzielony na tzw. fazy. W fazie pierwszej wyróżniamy cztery główne źródła danych, dzięki którym uzyskujemy pełną widoczność w celu określenia i zbadania ataków: • pakiety sieciowe - przedstawiają kompletny obraz zdarzeń z wybranych miejsc w sieci • logi - dost arc zają infor mac je o zdarzeniach i działaniach dotyczących systemu informatycznego • przepływy NetFlow - zbierają informacje o ruchu w sieciach IP • stacje końcowe - analizowanie systemów operacyjnych w celu wykrywania złośliwego oprogramowania Rys. 1 W fazie drugiej wykrywane i analizowane są zaawansowane ataki pr z e d wp ł ywe m na d z ia ł a nie środowisk produkcyjnych. Raportowanie, przeszukiwanie starszych informacji o poprzednich zdarzeniach oraz odpowiednie reguły pozwalają Architektura RSA Advanced Security Operation Center Biuletyn Informacyjny SOLIDEX® 47 ROZWIĄZANIA zespołom bezpieczeństwa na znajdowanie zagrożeń natychmiastowo . Faza trzecia to podjęcie ukierunkowanych działań w celu zapobiegania najważniejszym incydentom. Dzięki odpowiednim narzędziom, które dogłębnie analizują zebrane informacje zespoły bezpieczeństwa są wstanie zapobiec krytycznym atakom. RSA Advanced SOC (elementy składowe) RSA Security Analytics To platforma monitorująca, która jest w stanie dostosować się do potrzeb każdej organizacji. Zbiera dwa typy danych z infrastruktury sieciowej - pakiety danych oraz logi - dzięki czemu pozwala na analizę całego ruchu sieciowego. Kluczowymi aspektami architektury są: • rozproszone gromadzenie danych z wykor z ys t aniem modu ł owej architektury • analizowanie 100% ruchu sieciowego Rys. 2 48 i logów w czasie rzeczywistym • magazynowanie zestawów danych dotyczących bezpieczeństwa • raportowanie, śledzenie i administrowanie danych • k o r e l a c j a d a n y c h z i n n y m i systemami R SA Security Analytics obecnie dostępny jest w wersji 10.6. Graficzny interfejs użytkownika oparty jest na pr z e g l ą da r c e int e r ne t ow e j do administrowania architekturą, konfiguracji ustawień oraz zarządzania prawami do określonych zasobów. Poprzez wysoką intuicyjność, szybką rejestrację i analizę danych uruchamia odpowiednie alarmy i gener uje rapor ty. Posiada wbudowany interfejs do zarządzania incydentami. Zapisuje sesje w celu ich późniejszej analizy. Wyszukuje złośliwe oprogramowania malware. Wydajny interfejs śledczy, który jest prosty w obsłudze, umożliwia przeszukiwanie nie tylko surowych danych, lecz także metadanych, a nawet obydwa typy w tym samym momencie. Moduły Integracja narzędzia RSA ECAT z innymi narzędziami Integrujemy przyszłość® zostały podzielone w odpowiedni i przejrzysty sposób. Moduł Live centralnie zarządza subskrypcją i dystrybucją danych. Moduł Administracyjny pozwala na sprawne zarządzanie urządzeniami. Enterprise Compromise Assessment Tool (RSA ECAT) Narzędzie do wykrywania zagrożeń na urządzeniach końcowych. Pomaga wykrywać, analizować i odpowiadać na zaawansowane szkodliwe oprogramowanie bez bazowania na sygnaturach . Udost ę pnia infor mac je o rozpoznanych zagrożeniach. W prosty sposób integruje się z pozostałymi narzędziami rozwiązań RSA, przez co zapewnia pełny wgląd w to, co dzieje się w końcowych punktach sieci (Rys. 2). Zadania RSA ECAT: • stałe monitorowanie wszystkich urządzeń końcowych i ich aktywności. Pełny wgląd na to, co dzieje się na danej maszynie, niezależnie od tego, czy urządzenie jest podłączone do sieci Numer: II/2016 (135) • „głębokie” wnikanie w funkcjonowanie urządzeń końcowych polegające między innymi na kontroli dysków fizycznych, analizy przepływu ruchu w sieci bądź monitorowaniu pamięci • wykorzystywanie narzędzia ECAT agent, który nie wpływa na działanie urządzeń, a potrafi zebrać informacje o zasobach i profilach urządzeń końcowych • a u t o m a t y c z n e s k a n o w a n i e nieznanych plików, procesów, które pojawią się na urządzeniu końcowym • dynamiczne reagowanie na podejrzane działania i przypisywanie im określonych flag w celu późniejszej analizy. Wykorzystanie inteligentnego algorytmu , który potrafi sam się uczyć. Obecnie dostępna jest wersja RSA EC AT 4.0. Jedna z ważniejszych jej funkcjonalności to zmodyfikowana baza danych, która przyspiesza analizę danych oraz zwiększa obsługę serwera do 50 tysięcy systemów końcowych. Ponadto istotne są: zmodyfikowany interfejs, prosty konfigurowalny pulpit czy predefiniowane widgety, a także: przenoszenie paneli na różne ekrany, korelacja danych z Security Analytics o podejrzanych incydentach oraz aktualizowanie informacji o zagrożeniach za pomocą RSA Live. Należy te ż wspomnie ć o wsparc iu dla systemów Mac OS X. Rys. 3 Integracja RSA SecOps z RSA Security Analytics bezpieczeństwa używając standardowych protoko łów. Gromadzi informacje w postaci kontekstów z różnych źródeł. Analizuje konteksty podc zas śledzenia inc ydentów. Bazuje na najlepszych praktykach zarządzania. • Breach Response – z ar z ądz a odpowiednimi zadaniami i procedu r a mi p o p r z e z a ng a ż ow a nie kluczowych zainteresowanych • SOC P rogram Management monitoruje kluc zowe wska źniki efektywności i skuteczności, zarządza całością „załogi” • Business Risk Management - ocenia ryzyko i wpływ incydentów bezpieczeństwa na działanie organizacji RSA Security Operations Management (SecOps) RSA Advanced Cyber Defense (ACD) Practice Narzędzie pozwalające przedsię biorstwom na jednoczesne zgranie ludzi, procesów oraz technologii d o e fe k t yw n e go w yk r yw a nia i o dp owiadania na inc ydent y bezpieczeństwa (Rys. 3). Umożliwia scentralizowane reagowanie na zagrożenia. Rozwiązanie out-of-the-box służące do zarządzania incydentami, ustawiania priorytetów przebiegu prac. Odpowiednie raportowanie o naruszaniu ochrony danych. Kontrolowanie efektywności zarządzania bezpieczeństwem. Kluczowe funkcjonalności: • Incident Response- zbiera informacje o zagrożeniach z różnych mechanizmów Z est aw profesjonalnych us ł ug , które pomagają firmom poprawić ich bezpieczeństwo oraz przygotować j e n a m o ż liw o ś ć o d p o w i e d z i na zagrożenia i możliwość ewoluowania w środowisku zagrożenia. Usługi pomagają również w opracowaniu odpowiednich strategii i taktyk w celu rozbudowy i poprawy bezpieczeństwa. Szczególny nacisk położony jest na projektowanie i optymalizację centów ds. bezpieczeństwa jak również zespołów reagowania na incydenty bezpiec zeństwa oraz efektywne wykorzystywanie zagrożeń. Biuletyn Informacyjny SOLIDEX® RSA Advanced Cyber Defense Training & Certification Zestaw kursów edukacyjnych, które zapewniają kompleksową ścieżkę nauczania dla analityków bezpieczeństwa. Szkolenia koncentrują się na lepszym wykrywaniu i analizowaniu zagrożeń wpływających na działanie organizacji. Kursy mają na celu zachęcić klientów do zmiany podejścia w zakresie bezpieczeństwa IT z reaktywnego na proaktywne. Czy warto? Obecnie SIEM jest niewystarczający, ponieważ jedynie ścisła współpraca inteligentnych narzędzi może stworzyć kompletną platformę do zarządzania bezpieczeństwem. Również niezbędni są ludzie oraz procedury zarządzające posiadanymi narzędziami. Podsumowując, zaawansowane centrum ds. bezpieczeństwa ASOC to idealne rozwią zanie dla ka żdej organizacji, która ceni sobie najwyższe standardy bezpieczeństwa. Odbiorca otrzymuje platformę pozwalającą na skrócenie czasu reakcji na ataki, szybką i odpowiednią analizę zdarzeń, informację o zasobach dotkniętych zdarzeniem oraz opracowane środki zaradcze. Opracowano na podstawie oficjalnych materiałów producenta. P. R. 49 Jesteśmy wiodącym polskim integratorem technologii IT. Bazując na produktach najlepszych światowych producentów rozwiązań informatycznych oraz doskonałej wiedzy i wieloletnim doświadczeniu naszej kadry inżynierskiej, dostarczamy naszym Klientom kompletne systemy wspomagające i zabezpieczające ich działalność biznesową. SOLIDne Systemy • Bezpieczeństwo IT • Serwery i przechowywanie danych • Routing & Switching SOLIDne Usługi • Collaboration • Wsparcie w utrzymaniu sieci/systemów • Dostawy sprzętu i usługi gwarancyjne • Doradztwo i projektowanie • Serwis urządzeń • Wdrożenia SOLIDne Oprogramowanie • Profesjonalne oprogramowanie dla usług IT Obszary działania SOLIDEX: • Systemy bezpieczeństwa • Systemy transmisji obrazu i głosu • Sieciowe systemy transmisji danych • Systemy przetwarzania i przechowywania danych • Systemy zarządzania i utrzymywania infrastruktury teleinformatycznej • Systamy dystrybucji treści Centrala w Krakowie ul. J. Lea 124, 30-133 Kraków tel. +48 12 638 04 80, fax: +48 12 638 04 70, e-mail: [email protected] Wybrane referencje: Bank Pekao S.A. CanPack Centrum Cyfrowej Administracji w Warszawie Credit Agricole Bank Polska S.A. Capgemini Polska Sp. z o.o. Enea Operator Sp. z o.o. Grupa ING INEA S.A. KGHM Polska Miedź S.A. Komenda Główna Policji mBank S.A. Ministerstwo Finansów Poczta Polska S.A. Polkomtel S.A. Polska Spółka Gazownictwa Sp. z o.o. Vienna Insurance Group Polska Sp. z o.o. Uniwersytet Jagielloński UPC Polska Sp. z o.o. www.SOLIDEX.com.pl www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944 Redakcja: SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] Oddano do druku: wrzesień 2016 Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli. www.integrator.SOLIDEX.com.pl