kliknąć tu aby pobrać plik

Transkrypt

Integrujemy przyszłość®
ISSN 1233–4944
Biuletyn Informacyjny SOLIDEX®
Nr II/2016 (135)
W numerze
między innymi:
WYDARZENIA:
SOLIDEX najlepszym
Partnerem Handlowym Clico
KGHM docenia współpracę
z SOLIDEX
NOWOŚCI:

SDN w wydaniu Vmware NSX
TECHNOLOGIE:

Digital Vault ® -nowe
spojrzenie na bezpieczeństwo
ROZWIĄZANIA:

RSA Advanced SOC
www.integrator.SOLIDEX.com.pl
Numer: II/2016 (135)
Szanowni Państwo!
Z rozpoc zęciem roku szkolnego oddajemy w Państwa ręce najnowszy, jesienny numer Integratora.
Minione miesiąc e był y dla nas bardzo owoc ne – wra z z nasz ymi Par tnerami technologic znymi
zorganizowaliśmy wiele seminariów tematycznych dla naszych Klientów. Poświęcone były głównie bezpieczeństwu
sieci – rozwiązaniom Cisco, Check Point, Intel Security, Fortinet oraz F5 Networks. SOLIDEX udzielał się również
charytatywnie - jako jeden ze sponsorów Festiwalu Zaczarowanej Piosenki Fundacji Mimo Wszystko. Więcej informacji
dotyczących minionych wydarzeń na stronach 4-8.
W nowym Integratorze® znajdziecie Państwo kontynuację artykułu z poprzedniego numeru – ASA z usługami
FIREPOWER (str. 35). Polecamy również tekst poświęcony rozwiązaniom telepresence firmy Cisco - Wysokiej jakości
rozwiązanie do konferencji wideo WebEx Meeting Server (str. 42). Na łamach biuletynu pojawiły się także artykuły
na temat zagadnień, o których nie mieliśmy jeszcze okazji pisać -Producentach: Arista Networks (str. 23)
oraz CyberArk (str. 31).
Życzymy przyjemnej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
SOLIDEX najlepszym Partnerem Handlowym Clico
4
KGHM docenia współpracę z SOLIDEX
5
Forum Bezpieczeństwa Banków
5
Bezpieczna sieć we Wrocławiu
6
SOLIDEX nagrodzony przez firmę Check Point
6
Cykl seminariów prezentujących rozwiązania firmy Check Point
7
SOLIDEX Boat Show – zbuduj bezpieczną sieć z SOLIDnymi EXpertami
8
Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX
NOWOŚCI
9
Hiperkonwergencja od Cisco -HX Data HyperFlex
13
Nowości w portfolio Juniper Networks
18
SDN w wydaniu Vmware NSX
TECHNOLOGIE
23
Arista – producent innowacyjnych rozwiązań
26
Przełączniki Przemysłowe Cisco (Cisco Industrial Ethernet Switch)
31
Digital Vault ® – nowe spojrzenie na bezpieczeństwo
ROZWIĄZANIA
35
ASA z usługami FIREPOWER (c.d.), cz.II - projektowanie
38
Szyna wymiany informacji McAfee Data Exchange Layer (DXL)
42
Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server
47
RSA Advanced SOC
WYDARZENIA
SOLIDEX najlepszym partnerem handlowym Clico
Z wielką przyjemnością informujemy,
że wieloletnia współpraca SOLIDEX
z firmą Clico Sp. z o.o. została
uhonorowana nagrodą dla Najlepszego
Partnera Handlowego za 2015 rok.
Na dorocznym Clico Partner Event
(11-13 maja 2016) wyróżnienie odebrali
członkowie Zarządu SOLIDEX wraz
z niezwykle liczną delegacja
SOLIDnych EXpertów. Mamy nadzieję,
że przyszła współpraca między naszymi
Firmami będzie przebiegać równie
satysfakcjonująco, jak przez ostatnie
lata.
Firma Clico Sp . z o.o. jest jednym
z największych specjalizowanych
dystrybutorów z wartością dodaną
(VAD) na rynku polskim oraz Europy
Centralnej i Wschodniej, który
już od 25 lat promuje rozwiązania
liderów branży, takich jak: Check Point,
F5 Networks, Juniper czy Forcepoint.
KGHM docenia współpracę z SOLIDEX
Wieloletnia współpraca z KGHM
Polska Miedź S. A . zaowocowała
wyróżnieniem naszej Firmy statuetką
za dotychczasową współpracę oraz
Partnerskie relacje łączące nasze
Firmy. Na uroc zystej A kademii
Jubileuszowej dnia 15 kwietnia 2016
roku w Centrum Kultury „Muza”
w Lubinie w imieniu SOLIDEX wyróżnienie odebrał Dyrektor Rozwoju
Sprzedaży Arkadiusz Andrysiewicz.
4
Jeste śmy bardzo dumni z tego
wyróżnienia. Mamy nadzieję, że dalsza
kooperacja z Centralnym Ośrodkiem
Przetwarzania Informacji KGHM
będzie przebiegać równie efektywnie
i satysfakcjonująco dla obu stron.
Numer: II/2016 (135)
Forum Bezpieczeństwa Banków
W dniu 10 maja 2016r. już po raz piąty
odbyło się Forum Bezpieczeństwa
Banków. SOLIDE X wraz z firmą
Check Point Technologies był jednym
ze sponsorów tego wydarzenia.
Spotkanie cieszyło bardzo dużym
zainteresowaniem i zgromadziło
prawie 400 gości, którzy skupili
się głównie na tematyce bliższej
wspó ł prac y banków, polic ji
i administracji publicznej w celu
przeciwdziałania fraudom.
Przez cały czas trwania konferencji
SOLIDni EXperci byli do Państwa
dyspoz yc ji na na s z ym s t oisk u
i chętnie odpowiadali na Państwa
pytania związane z szeroko pojętym
bezpieczeństwem.
Bezpieczna sieć we Wrocławiu
16 czerwca br. mieliśmy przyjemność
gościć naszych K lientów
w Hotelu Granary we Wrocławiu
na dedykowanym seminarium.
Prelegenci z naszych Partnerskich
Firm – F5 Networks i Intel Security –
przedstawili dostarczane przez Solidex
rozwiązania z zakresu bezpieczeństwa
IT.
Konferenc ja obejmowa ł a dwie
prelekcje, które zgłębiały zagadnienia
ochrony przed zaawansowanymi
atakami ukierunkowanymi
na infrastrukturę IT, oraz ochronę przed
atakami DDoS.
Po części merytorycznej przyszedł
też czas na przyjemności – wspólne
kibicowanie naszej drużynie piłkarskiej
w ramach zmagań na Euro 2016
we Francji.
Na pewno dzięki naszemu
zaangażowaniu udało się utrzymać
bezbramkowy remis z obecnymi
mistrzami świata ;-)
Serdecznie dziękujemy wszystkim
Klientom za udział.
5
WYDARZENIA
SOLIDEX nagrodzony przez firmę Check Point
Podc z as doroc z nego spot kania
Partnerów Check Point Software
Technologies Ltd. dnia 2 czerwca 2016
r. nasza firma została uhonorowana
st atuetką „ za konsekwencję
w działaniu z Check Point”.
Nagrodę z rąk Country Managera
K rzysz tofa Wójtowic za odebrał
przedstawiciel Zarządu SOLIDEX S.A.
CheckPoint Partner Event rozpoczął
się częścią merytoryczną podczas której
firma przedstawiła swoje nowości
technologiczne, rozwiązania i wizję
rozwoju i współpracy z Partnerami.
W następnej części spotkania zostały
rozdane nagrody dla najlepszych
Partnerów za rok 2015.
SOLIDEX współpracuje z firmą Check
Point już prawie 2 dekady. Współpraca
owocuje coraz bardziej złożonymi
technologicznie projektami oraz
coraz większą wiedzą technologiczną
inżynierów SOLIDEX, która w tym
roku została potwierdzona aż trzema
certyfikatami Check Point Certified
Security Master.
Cykl seminariów prezentujących rozwiązania firmy Check Point
W lipcu mieliśmy okazję gościć
nasz ych K luc zowych K lient ów
na serii spotkań zorganizowanych wraz
z naszym Partnerem technologicznym
firmą Check Point: na Stadionie Energa
Gdańsk, w Warszawskim Forcie
Sokolnickiego i Poznań Indoor Karting.
Wydarzenie poświęcono w całości
r oz wią z aniom be z pie c ze ń s t wa
sieciowego Check Point – tematyce
o dużym znaczeniu dla działalności
każdej organizacji w dzisiejszych
czasach.
Nasi SOLIDni EXperci zaprezentowali
najnowsze trendy w dziedzinie:
nowe platformy sprzętowe Check
Point, Sandblast Agent w praktyce
oraz platformę do zarządzania R80.
Serdecznie dziękujemy za Państwa
aktywny udział.
6
Mamy nad z iej ę , ż e omawiane
rozwiązania oraz sposób prowadzenia
spot k ania pr z ypad ł y P a ń s twu
do gustu. Do zobaczenia na kolejnych
seminariach!
Numer: II/2016 (135)
SOLIDEX Boat Show – zbuduj bezpieczną sieć z SOLIDnymi Expertami
Tej wiosny SOLIDEX wraz z Partnerem
technologicznym – firmą Cisco Systems
– przygotował dla Państwa serię
wyjątkowych spotkań prezentujących
rozwiązania bezpieczeństwa Cisco.
Wyjątkowych nie tylko ze względu
na lokalizację – wprowadzające
w klimat wakacyjny barki cumujące
na największych polskich rzekach ale również na nadzwyczajny pokaz
hackingu na żywo.
Prelegenci zaprezentowali rozwiązania
C isco Sec urity - prak tyc zną
implementację wiedzy na temat
zagrożeń w infrastrukturze IT oraz
Advanced Malware Protection.
Wszystkim go ś c iom, k tór zy
uczestniczyli w tym wydarzeniu
w Warszawie, Poznaniu i Krakowie
dziękujemy za spotkania i c zas
poświęcony na wymianę doświadczeń
dotyc z ąc ych bezpiec zeństwa
sieciowego.
7
WYDARZENIA
Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX
W tym roku S OL IDE X mia ł
przyjemność być jednym ze Sponsorów
organizowanego corocznie Festiwalu
Zaczarowanej Piosenki. Wydarzenie
pr z ygot owa ne pr z e z F undac j ę
Anny Dymnej „Mimo Wszystko”
zgromadziło jak zwykle tysiące
Krakowian.
SOLIDEX współpracuje z Fundacją
A nny D ymnej o d r oz p o c z ę c ia
jej d z ia ł alno ś c i w 2 0 0 3 r ok u .
Od samego początku wspiera Fundację
„Mimo Wszystko” w codziennej
działalności czyli pomocy głównie
osobom dor os ł ym dot k nię tym
niepełnosprawnością intelektualną.
8
Numer: II/2016 (135)
Hiperkonwergencja od Cisco
- HX Data HyperFlex
Cisco HyperFlex – hiperkonwergentne rozwiązanie, łączące w sobie zasoby
procesora, przestrzeń dyskową (storage) oraz sieć w jedną prostą platformę
sprzętową. Rozwiązanie nosi nazwę HX Data Platform. HyperFlex w warstwie
software’u bazuje na rozwiązaniu SpringPath, a w warstwie sprzętowej
na sprawdzonych już serwerach UCS. Dodatkowo w skład rozwiązania
wchodzą dwa Interconnecty służące do zarządzania serwerami UCS, które także
dostarczają cześć sieciową łączącą poszczególne serwery w klastrze i zapewniają
komunikację z pozostałymi elementami w infrastrukturze Data Center.
Serwery
dwie role: pierwszą jest zapewnienie
mocy obliczeniowej (compute), drugą
zapewnienie przestrzeni dyskowej
(storage). Rozwią zanie pozwala
skalować to, c zego u ż ytkownik
potrzebuje w danej chwili, dlatego
HyperF lex (Rys . 1) składa
się z platformy UCS, a dokładnie
z serwerów UCS 220C lub 240C. Obie
platformy serwerowe mogą pełnić
Rys. 1
- jeśli jest potrzebna tylko moc obliczeniowa - możemy dołożyć serwery
blade z rodziny B200 M4. Gdy nowe
serwery zostaną dodane, oprogramowanie HyperFlex będzie zrównoważać obciążenie i zajętość dysków
Architektura sprzętowa HyperFlex
9
NOWOŚCI
dla całego rozwiązania. Do zbudowania klastra (Rys. 2) są potrzebne
minimum 3 serwery, które obecnie
mogą być skalowane do 8 serwerów.
Cały czas trwają prace, aby środowisko
można było skalować do większej ilości
serwerów. W Tab. 1 zostały przedstawione parametry serwerów z jakich
możemy zbudować klaster HyperFlex-owy. Oczywiście, jeśli potrzebujemy tylko mocy obliczeniowej
„compute”, możemy wykorzystać
serwery typu blade.
Rys. 2
Software
Każdy VL AN, który jest używany
w klastrze HyperFlex, musi być rozciągnięty na przełączniki „Top of rack”
- TOR. Dla VL ANów używanych
tylko i wyłącznie w obrębie klastra,
ruch nie powinien być dopuszczony
do przełączników agregacyjnych.
Na każdym serwerze w klastrze jest
instalowana maszyna wir tualna
„Controller VM”. Maszynę tą możemy
traktować jako proxy pomiędzy
środowiskiem VMware a fizycznym
dostępem do zasobów dyskowych
zainstalowanych w serwerze.
Cecha
Maszyna wirtualna Controller VM
ma bezpośredni dostęp do dysków.
Dzięki zainstalowanemu modułowi
„IOVisor Module” w kernelu ESXi,
wystawia zasoby dyskowe z wykorzystaniem protokołu NF S do ESX,
na których mogą być tworzone
VMware‘owe „Data Story”.
HX 220C
HX 240C
Przeznaczenie
podstawowa, mała przestrzeń dyskowa
duża przestrzeń dyskowa, duża moc
obliczeniowa
Wielkość RU
1 RU
2 RU
Pojemność dyskowa
6 x 1.2 TB HDDs
23 x 1.2 TB HDDs
Cache
1 x 480 GB SSD
1 x 1.6 TB SSD
do 2 procesorów w serwerze
do 2 procesorów w serwerze
przestrzeń dyskowa, moc bliczeniowa
przestrzeń dyskowa, moc
obliczeniowa
Moc obliczeniowa
Skalowność
Tab. 1
Specyfikacja serwerów fizycznych
Natomiast dla ruchu produkcyjnego
w którym są maszyny wirtualne,
VL ANy te muszę być dopuszczone
do przełączników agregujących.
Każdy serwer jest podpięty dwoma
interfejsami 10Gb do każdego z Interconnectów (Rys. 3). Podczas instalacji
środowiska HyperFlex automatycznie
są tworzone wirtualne sieci w celu
zapewnienia komunikacji wewnątrz
i na zewnątrz klastra. W Tab. 2
zostały wyszczególnione nazwy oraz
przeznaczenie sieci, które są tworzone
podczas kreowania klastra HyperFlex,
natomiast Tab. 3 prezentuje tworzone
podsieci wirtualne.
10
Możliwości klastrowania
Rys. 3
Połączenia fizyczne
Numer: II/2016 (135)
Nazwa
Rola
hv-mgmt
zarządzanie inband dla VM
Storage-data
Dostęp do dysków i replikacja pomiędzy serwerami
vm-network
Dostęp na zewnątrz wykorzystywane przez VM
hv-vmotion
Wykorzystywane przez vmotion
Tab. 2
Wirtualne sieci – tworzone automatycznie
Kolejnym instalowanym modułem
w kernelu ESXi jest „VAAI” (vStorage
API’s for Array Integration). Dzięki
temu modułowi są wykonywane
operac je k lonowania i kopii
migawkowych w trybie offload.
Na Rys. 4 przedstawiono komponenty
software, które są odpowiedzialne za
komunikację pomiędzy serwerami
znajdującymi się w klastrze.
Konc epc ja roz wią z ania k last ra
w przypadku awarii poszczególnego
dysku w serwerze lub całego dysku
polega na trzymaniu kilku kopii
tych samych danych „bloków” w
kilku kopiach na różnych serwerach.
Podczas instalacji środowiska musimy
zdecydować, w ilu kopiach chcemy
trzymać nasze dane. Wartość „Replication Factor” (RF) ustawiamy dla
całego klastra i nie możemy ich zmienić
po zainicjowaniu systemu. Domyślna
wartość to 3, co oznacza, że mamy 3
kopie każdego bloku danych.
Kolejną wartością, jaką możemy
ustawić dla klastra, jest „Access Policy”.
W tym przypadku możliwa jest zmiana
po uruchomieniu klastra. Mamy dwie
Rys. 4
vNIC Name
hv-mgmt-a, hv-mgmt-b
Description
ESXi vswitch-hx-inband-mgmt
Active vNICs: hv-mgmt-a,
hv-mgmt-b
Standby vNICs: None,MTU: 1500
storage-data-a, storage-data-b
ESXi vswitch-hx-storage data
Active vNICs: storage-data-a
Standby vNICs: storage-data-b
MTU: 9000
VMKarnel Port Group
Controller VM interface MTU
vm-network-a, vm-network-b
ESXi vswitch-hx-vm-network
Active vNICs: vm-network-a,
vm-network-b
hv-vmotion-a, hv-vmotion-b
ESXi vmotion
Active vNICs: hv-vmotion-a,
hv-vmotion-b
Tab. 3
Interfejsy wirtualne
możliwości: pierwsza z nich to tryb
„strict”, drugi - “lenient”. Różnicę
w zachowaniu klastra widać w sytuacji,
gdy zostanie tylko jedna kopia danych.
W przypadku ustawienia polityki
na „strict” klaster przejdzie w tryb „tylko
do odczytu” do chwili odbudowaniua
Oprogramowanie instalowane na serwerze w klastrze
przynajmniej dwóch kopii danych. Gdy
wybierzemy politykę „lenient”,klaster
pozostanie w trybie zapisu i odczytu
mając jedną kopię danych.
Klaster HyperFlex sprawdza obciążenie i aktywnie przenosi obciążenie na
serwery mniej wykorzystywane. Pliki
wirtualnych maszyn są równomiernie
rozmieszczane na poszczególne serwery
– na Rys. 5 (str.12) przedstawiono bloki
A-E. Równocześnie odbywa się kopiowanie bloków bazując na ustawieniu
„Replication Factor” (RF) tak, aby
na każdym z serwerów były inne bloki.
W przypadku awarii dysku lub serwera
dostępne bloki A1-E1 są traktowane
jako produkcyjne. Jednoc ześnie
z tych bloków są tworzone dodatkowe
kopie, aby zapewnić iloś ć kopi
11
NOWOŚCI
Rys. 5
Operacje w klastrze
zdefiniowanych przez RF. Oczywiście
po usunięciu awarii dane zostaną
automatycznie rozrzucone na wszystkie
serwery w klastrze. Opis powyższego
mechanizmu został przedstawiony
na Rys. 5.
W przypadku dodania kolejnego
serwera do klastra proces rebalansowania zasobów również jest automatyc znie inic jalizowany. Nale ż y
pamiętać, aby dodawać nowe zasoby
do klastra wtedy, kiedy środowisko
produkcyjne jest najmniej obciążone,
gdyż proces ten obciąża klaster i sieć.
12
Podsumowanie
Implementacja środowiska w ciągu
minut, a nie dni. Elastyczne dopasowanie do wymagań klienta. Oddzielenie warstwy Storage od Compute.
Brak wymagań w zakresie dodatkowych elementów sieciowych, gdyż
w zestawie są dwa Interconnecty.
Zaawansowane usługi zarządzania
danymi. Wykorzystanie natywnego
s z yb k ie go k l o n o w a nia d z i ę k i
zastosowaniu VA A I. Tworzenie
kopii migawkowych bez wpływu
na działanie systemu. Zawsze włączona
deduplikacja i kompresja danych
w trybie inline pozwala na redukcję ich
objętości nawet o 80%.
Rozwią zanie znakomicie nadaje
się do rozwiązań VDI. System został
zaprojektowany od podstaw przy
założeniu 30 % redukcji kosztów
utrzymania TCO oraz o 40% większej
wydajności w stosunku do dostępnych
na rynku rozwiązań.
Opracowano na podstawie oficjalnych
materiałów producenta.
M.W.
Numer: II/2016 (135)
Nowości w portfolio
Juniper Networks
Wprowadzenie normy ROHS2 na terenie Unii Europejskiej wymusiło odświeżenie
znacznej części portfolio firmy Juniper Networks. Zmiany dotyczą głównie linii
przełączników oraz małych firewalli. Poza spełnieniem nowej normy odświeżono
ofertę oraz wprowadzono parę innowacyjnych elementów mających zapewnić
konkurencyjność na rynku technologii sieciowych i bezpieczeństwa sieciowego.
Dyrektywa ROHS2
Założeniem twórców RoHS było wyeliminowanie z urządzeń elektronicznych
substancji o dużej szkodliwości
dla ludzi i środowiska naturalnego
głównie ołowiu ze stopu lutowniczego
oraz rtęci. Zakazy dotknęły elektronikę
konsumencką i inny podobny sprzęt
produkowany masowo bo z uwagi
na jego ilość oraz krótki czas użytkowania, oddziaływanie tych urządzeń
na środowisko uznano za najsilniejsze
i konieczne do zmiany w pierwszej
kolejności.
Noweliz ac ja dyrek tywy RoHS ,
czyli RoHS 2, przyniosła nie tylko
wyjaśnienie nieprecyzyjnych zapisów
z 2006 roku, ale wprowadziła także
dalsze obostrzenia poprzez rozszerzenie
Rys. 1
Przełącznik Juniper Networks EX2300
Rys. 2
Przełącznik Juniper Networks EX2300-C
13
NOWOŚCI
Rys. 3
Wdrożenie przełączników EX2300 przy zastosowaniu technologii Virtual Chassis
grup wyrobów objętych zakazami
i ograniczenie wyjątków. Dotknęło
to w szczególności znacznej grupy
urządzeń firmy Juniper Networks.
Producent odpowiednio wcześniej
zabrał się za odświeżanie swojego
portfolio pod względem zgodności
z dyrektywą RoHS2, czego efektem jest
całkowicie nowa linia przełączników
dostępowych EX oraz firewalli SRX.
Przełącznik EX2300
Przełącznik EX 2300 jest następcą
obecnego od 2010 roku w portfolio
firmy Juniper Networks modelu
EX2200. Jest to najprostszy przełącznik
w ofercie tego producenta mający
z założenia być wykorzystywany
bezwiatrakowego modelu EX2300-C
• Dostępność modeli z zasilaniem PoE
z budżetem mocy 15.4W na każdy port
downlink 1GE
• Wsparcie dla technologii Energy
Efficent Ethernet dla portów downlink 1GE
• Pełen zakres funkcjonalności Layer
2 oraz ograniczony Layer 3
• Uproszczone zarządzanie przy wykorzystaniu J-Web GUI oraz Juniper
Networks Junos Space Network
Director
Dost ępne modele pr ze ł ąc znika
E X 2300 przedstawiono w Tab. 1
a wygląd przykładowych modeli
pełnowymiarowego i kompaktowego
przedstawiono na Rys.: 1 i 2 (str. 13).
Porty
downlink
10/100/1000
Base-T
Porty uplink
1/10 GE SFP/
SFP+
Porty
PoE/PoE+
Budżet
zasilania
PoE/PoE+
Chłodzenie
Zasilanie
EX2300-24T
24
4
0
-
1x Fixed, AFO
Wewnętrzne AC
EX2300-24P
24
4
24
370W
2x Fixed, AFO
Wewnętrzne AC
EX2300-24T-DC
24
4
0
-
1x Fixed, AFO
Wewnętrzne DC
EX2300-48T
48
4
0
-
1x Fixed, AFO
Wewnętrzne AC
EX2300-48P
48
4
48
740W
2x Fixed, AFO
Wewnętrzne AC
EX2300-48T-DC
48
4
0
-
1x Fixed, AFO
Wewnętrzne DC
EX2300-C-12T
12
2
0
-
pasywne
Zewnętrzne DC
EX2300-C-12P
12
2
12
124W
pasywne
Zewnętrzne DC
Model
Tab. 1
14
do pr o s t yc h z a s t o s owa ń ja ko
przełącznik standalone L2 z podstawowymi funkcjonalnościmi L 3 .
Po d s t aw ow a c ha r a k t e r y s t yk a
przełącznika EX2300:
• Wsparcie dla technologii Junos
Fusion Enterprise umożliwiające skonfigurowanie przełączników EX2300
jako wyniesione karty liniowe dla przełącznika EX9200 tworząc przy tym
jedno logiczne urządzenie
• Wsparcie dla technologii Virtual
Chassis przy wykorzystaniu dodatkowej licencji
• Uplinki zabudowane 4x 1/10GE SFP/
SFP+
• D o s t ę pno ś ć mo de li 2 4 i 4 8
portowych
• Dos t ę pno ś ć kompak t owego,
Dostępne modele przełączników Juniper Networks EX2300
Numer: II/2016 (135)
Model
Porty
Porty
Porty
downlink
uplink
uplink Porty
PoE/
10/100/1000 1/10 GE
40GE PoE+
Base-T
SFP/SFP+ QSFP+
Budżet
zasilania
PoE/PoE+
Chłodzenie
Zasilanie
EX3400-24T
24
4
2
-
-
2x Hot-Swap
AFO
Dual Hot-Swap
AC
EX3400-24P
24
4
2
24
370W/720W
2x Hot-Swap
AFO
Dual Hot-Swap
AC
EX3400-24T-DC
24
4
2
-
-
2x Hot-Swap
AFO
Dual Hot-Swap
DC
EX3400-48T
48
4
2
-
-
2x Hot-Swap
AFO
Dual Hot-Swap
AC
EX3400-48P
48
4
2
48
740W/1440W
2x Hot-Swap
AFO
Dual Hot-Swap
AC
EX3400-48T-AFI
48
4
2
-
-
2x Hot-Swap
AFI
Dual Hot-Swap
AC
Tab. 2
Dostępne modele przełącznika Juniper Networks EX3400
W porównaniu do modelu EX2200
główną zmianą w architekturze
fizycznej jest zmiana standardu portów
uplink z 4x1GE SFP do 4x 1/10GE SFP/
SFP+. Z punktu widzenia funkcjonalności nastąpiły dwie zmiany: wsparcie
dla technologii Virtual Chassis (Rys.
3) jest obecnie licencjonowane oraz
pojawiło się wsparcie dla długo
zapowiadanej technologii Junos Fusion
Enterprise. Licencjonowanie technologii Virtual Chassis wydaje się racjonalnie uzasadnione w związku z tym,
że w EX2200 była wykorzystywana
w znikomym stopniu, a sam przełącznik
EX 2300 pozycjonowany jest raczej
do prostych rozwiązań standalone.
Z pewnością rekompensuje tą zmianę
wsparcie dla technologii Junos Fusion,
która może być ciekawą propozycją
dla średniej wielko ś c i siec i
kampusowych.
Po d s t aw ow a c ha r a k t e r y s t yk a
przełącznika EX3400:
• Wsparcie dla technologii Junos
Fusion Enterprise (Rys. 6, str. 16)
umożliwiające skonfigurowanie przełączników EX3400 jako wyniesione
karty liniowe dla przełącznika EX9200
tworząc przy tym jedno logiczne
urządzenie
• Wsparcie dla technologii Virtual
Chassis do 10 przełączników w stosie
• Uplinki zabudowane 4x 1/10GE SFP/
SFP+ oraz 2x 40GE QSFP+
• D o s t ę pno ś ć mo deli 2 4 i 4 8
portowych
• Dostępność modeli ze standardowym i odwróconym przepływem
powietrza umożliwiającym zastosowanie w centrach przetwarzania
danych
• Dostępność modeli z zasilaniem
PoE/PoE+ z budżetem mocy 15.4W
na każdy port downlink 1GE
• Dwa redundantne, wyjmowane na
gorąco zasilacze dostarczające 920W
mocy każdy
• Wsparcie dla technologii Energy
Efficent Ethernet dla portów downlink 1GE
• Pełen zakres funkcjonalności Layer
2 oraz ograniczony Layer 3
• Możliwość rozbudowy o pełen
zakres funkcjonalności Layer 3 przy
zastoswaniu licencji Enhanced
• Uproszczone zarządzanie przy
wykorzystniu J-Web GUI oraz Juniper
Networks Junos Space Network
Director.
Przełącznik EX3400
Przełącznik EX3400 jest następcą
obecnego od 2011 roku w portfolio
firmy Juniper Networks modelu
E X 3 3 0 0 . Je s t t o p o ds t awowy
przełącznik w ofercie tego Producenta
mającym z założenia być wykorzystany jako przełącznik dostępowy
L2/L3 z możliwością łączenia w stos
Virtual Chassis do 10 przełączników.
Rys. 4
Przełącznik Juniper Networks EX3400 – przód
Rys. 5
Przełącznik Juniper Networks EX3400 – tył
15
NOWOŚCI
SRX300
SRX320
SRX340
SRX345
Porty zabudowane
8x1GE
8x1GE
16x1GE
16x1GE
Porty zabudowane RJ45
6
6
8
8
Porty zabudowane SFP
2
2
8
8
Porty MACsec
2
2
16
16
Routing/firewall 64B [kpps]
200 kpps
200 kpps
350 kpps
550 kpps
Routing/firewall IMIX [Mbps]
500 Mbps
500 Mbps
1000 Mbps
1700 Mbps
Routing/firwall 1518B [Gbps]
1 Gbps
1 Gbps
3 Gbps
5 Gbps
IPsec VPN IMIX [Mbps]
100 Mbps
100 Mbps
200 Mbps
300 Mbps
IPsec VPN 1400B [Mbps]
300 Mbps
300 Mbps
600 Mbps
800 Mbps
Tablica routingu RIB/FIB
256k/256k
256k/256k
1M/600k
1M/600k
Tab. 3 Dostępne modele firewalli Juniper Networks SRX300
Firewalle SRX
Rys. 6 Wdrożenie przełączników EX3400 w technologii Junos Fusion
Dost ępne modele pr ze ł ąc znika
E X 3 4 00 zost ał y przedst awione
w Tab. 2, a wygląd przykładowego
modelu z widokiem z przodu i z tyłu
na Rys.: 4 i 5 (str. 15).
W porównaniu do modelu EX3300
główną zmianą w architekturze
fizycznej modelu EX3400 jest wyposażenie przełącznika w podwójne,
wyjmowane na gorąco zasilacze
oraz zastosowanie obok uplinków
4x 1/10GE SFP/SFP+ dwóch uplinków
2 x 4 0 GE Q SF P+. Umo ż liwia
t o r e z yg nac j ę z do dat kowyc h
zewnętrznych zasilaczy RPS, które
zapewniał y nam ciągłoś ć pracy
w p r z y p a d k u a w a r ii w b u d o wanego zasilacza. Dodatkowe porty
16
umożliwiają wykorzystanie wszystkich
czterech portów 10GE jako uplinki,
podczas gdy porty 40GE służą nam
w typowym zastosowaniu jako porty
VPC pod Virtual Chassis.
Rys. 7
Portfolio firewalli Juniper Networks
jeszcze do niedawna było całkiem
rozbudowane, składało się z trzynastu
modeli, w tym siedmiu modeli klasy
Branch (SR X100, SR X110, SR X 210,
SRX220, SRX240, SRX550, SRX650)
oraz sześciu modeli klasy High-End
(SR X1400, SR X 3 400, SR X 3600,
SR X 5 400, SR X 5600, SR X 5800).
W pr owad z enie nor my ROH S 2
wymusiło wycofanie z por tfolio
firewall aż dziewięciu modeli (SRX100,
SRX110, SRX210, SRX220, SRX240,
SR X 6 5 0 , SR X 1 4 0 0 , SR X 3 4 0 0 ,
SRX3600). Warto przy tym zauważyć,
że modele te nie są wycofane przez
Producenta ze sprzedaży w skali
globalnej, tylko ograniczony jest obrót
nowymi produktami na terenie Unii
Europejskiej. Nie znany jest jeszcze
„koniec życia” tych modeli, więc
dotychczasowi Klienci mogą z tych
Firewalle Juniper Networks SRX300
Numer: II/2016 (135)
Rys. 8
Portfolio firewalli SRX firmy Juniper Networks po wprowadzeniu normy RoHS2
produktów korzystać i bez problemu
przedłużać na nie kontrakt serwisowy .
Do portfolio firewall Juniper Networks
wprowadzono pięć nowych modeli:
SRX300, SRX320, SRX340, SRX345
oraz SR X1500. Obecne por tfolio
security firmy Juniper Networks
zostało przedstawione na Rys. 8.
Dostępne modele firewalli SRX300
przedst awiono na Rys . 7, a ich
podstawowe parametry zestawiono
w Tab. 3.
Firewalle SRX300 są ciekawą propozycją jako urządzenia typu branch
of fic e realiz ując e jednoc ze śnie
funkcjonalność routera, firewalla
jak i przełącznika. Skok wydajności
w porównaniu z poprzednią linią
urządzeń jest znaczący, a Klienci
przyzwyczajeni do możliwości systemu
operacyjnego Junos - szczególnie
w kontekście wirtualizacji i realizacji
zaawansowanego routingu - przyjmą
nowe urządzenia z nieskrywanym
zadowoleniem.
B.M.
17
NOWOŚCI
SDN w wydaniu
Vmware NSX
W obecnych czasach przedsiębiorstwa zdają sobie sprawę z benefitów jakie
daje wirtualizacja serwerów. Główne zalety to możliwość uruchomienia kilku
wirtualnych maszyn na jednym serwerze fizycznym, ograniczenie kosztów
zakupu nowych serwerów, redukcję kosztów zasilania i chłodzenia oraz lepsze
wykorzystanie mocy obliczeniowej serwerów.
18
Na czym polega SDN oraz
SDDC ?
Co to jest Vmware NSX ?
Głównym założeniem sieci SDN
(Software Defined Network) jest
separacja płaszczyzny sterowania
od płaszczyzny danych, co prowadzi
do centralizacji funkcji sterowania.
Jest to podejście odmienne od stosowanego do tej pory, gdzie logika
odpowiedzialna za funkcjonowanie
całej infrastruktury jest rozproszona
na poszczególne urządzenia sieciowe
odpowiedzialne za transport ramek/
pakietów. Definiowane programowo
centr um pr zetwar zania danych
SDDC ( S of tware -Defined Dat a
Center) oznacza DC, w którym cała
infrastruktura jest zwirtualizowana
i oferowana jako usługi.
Wirtualizacja serwerów pozwala
także zadbać o wysoką dostępność
aplikacji dzięki mechanizmom klastrowania oraz funkcjonalnościom takim
jak vMotion, Storage vMotion,
Fault Tolerant, Snapshot, Replikacja.
Jednakże sieci L AN w Data Center
pozostają od lat w niezmienionej,
skomplikowanej i złożonej formie
nie wykorzystując potencjału jaki daje
wirtualizacja.
Jest to platforma do wirtualizacji sieci
w SDDC (Software Defined Data
Center). Realizuje funkcje sieciowe
połączone z zaawansowanymi mechanizmami bezpieczeństwa które zwykle
Rys. 1
zaimplementowane są na fizycznym
sprzęcie, bezpośrednio w warstwie
hypervisor-a. NSX umożliwia odtworzenie całego środowiska sieciowego
w warstwie wirtualnej i może działać
na każdej istniejącej fizycznej sieci,
niezależnie od posiadanego sprzętu.
Potrafi realizować switching, routing,
Architektura platformy Vmware NSX
Numer: II/2016 (135)
trzeciej. Dzięki takiemu podejściu
możemy wyeliminować wyżej wymienione problemy.
Korzyści protokołu VXLAN
Rys. 2
Ramka VXLAN
firewalling, load balancing, VPN, QoS,
oraz monitoring infrastruktury.
Architektura rozwiązania
Platforma NSX składa się z trzech
komponentów: data plane, control
plane i management plane (Rys. 1).
Management Plane realizowany
jest poprzez NSX Manager-a, Control
Plane poprzez klaster NSX kontrolerów a Data Plane bezpośrednio
na hostach ESXi. NSX Manager oraz
kontrolery, uruchamiane są w postaci
maszyn wirtualnych i nie wymagają
oddzielnego sprzętu.
Rys. 3
Wyzwania współczesnej
sieci w DC
• s e g me nt ac ja sie c i na wielu
„tenantów” z pokrywającą się adresacją IP
• rozc iąganie war stwy dr ugiej
pomiędzy centrami danych w celu
migracji maszyn wirtualnych
• problemy z wydajnością, ruchem
BUM (Broadcast, Unknown unicast
and Multicast) oraz protokołem STP
w dużych domenach L2 rozciągniętych
pomiędzy wieloma DC
Vmware NSX działa jako technologia „overlay” oparta na protokole
VXLAN (Virtual eXtensible Local Area
Network), który enkapsuluje ruch
w warstwie drugiej do warstwy
Korzyści jakie daje protokół:
• możliwość tworzenia sieci dla wielu
„tenantów” z pokrywającymi się adresami IP
• łatwe rozciąganie warstwy drugiej
na potrzeby vMotion niezależnie
od fizycznej sieci
• eliminowanie limitów tablic adresów
MAC w fizycznych przełącznikach.
• VXLAN umożliwia stworzenie do 16
milionów wirtualnych sieci w odniesieniu do limitu 4094 dla tradycyjnych
VLAN-ów
Budowę ramki VXL AN prezentuje
Rys. 2., natomiast Rys. 3 przedstawia
proces ustanowienia komunikacji
w warstwie drugiej pomiędzy dwoma
maszynami wirtualnymi znajdującymi
się na różnych hostach Esxi wykorzystując technologię „overlay” VXLAN.
Poniżej zostały kolejno zaprezentowanie kluczowe funkcjonalności
platformy Vmware NSX w wybranych
obszarach.
Switching (Logical Switch)
Logiczne sieci L 2 które mogą być
rozciągnięte pomiędzy wieloma DC
Komunikacja VXLAN
19
NOWOŚCI
„hair pinning ” (zawijanie ruchu
na zewnątrz), co przedstawia Rys. 6.
Dzięki DLR w przypadku komunikacji dwóch maszyn wirtualnych
z innych segmentów sieci znajdujących się na tym samym hoście Esxi,
routing odbywa się lokalnie i ruch
nie wychodzi poza fizyczny serwer.
NSX Edge Services Gateway
Rys. 4
Rys. 5
Logical Switch
Distibuted Logical Router
poprzez routowalną sieć L3 wykorzystując protokół VXLAN. Możliwe jest
tworzenie domen L2 z pokrywającą
się adresacją dla wielu „tenantów”
(Rys. 4)
moduł w kernelu każdego hypervisor-a. DLR umożliwia także „Bridging”
czyli mapowanie sieci wirtualnych
opar tych na protokole V X L A N
do tradycyjnych VLAN-ów działających
na fizycznych przełącznikach.
W tradycyjnym środowisku bez NSX
routing pomiędzy maszynami wirtualnymi realizowany jest przeważnie
przez fizyczny router, przełącznik
lub firewall. Konsekwencją takiego
podej ś c ia jest z jawisko z wane
Routing (Distributed Logical
Router – DLR)
DLR to rozproszony na wszystkie hosty
router. Zbudowany jest z warstwy
control plane i data plane (Rys. 5).
Za control plane odpowiedzialna jest
maszyna wirtualna (Control VM dwie dla redundancji). Odpowiada
za obsługę dynamicznych protokołów
routingu takich jak BGP czy OSPF.
Trasy nauczone przez control plane
są wstrzykiwane do każdego hosta.
Data plane obsługiwany jest przez
20
Rys. 6 Hair pinning
Je go g ł ównym z ada nie m je s t
połączenie sieci fizycznej (Rys. 7)
z siecią wirtualną oraz dostarczanie
różnych usług sieciowych takich jak:
• Routing and Network Address
Translation (NAT)
• Firewall
• Load Balancing
• L2 and L3 Virtual Private Networks
(VPNs)
• DHCP, DNS and IP address management (DDI)
• VXLAN –VLAN bridging
Distributed Firewalling
(DFW)
NSX posiada wbudowanego pełno
stanowego firewalla zaimplementowanego w kernelu każdego hypervisora
osiągającego wydajność 20 Gbps per
fizyczny host.
Numer: II/2016 (135)
Dzięki NSX DFW możemy wymusić
polityki bezpieczeństwa schodząc
do poziomu karty sieciowej maszyny
wirtualnej. Zapewnia to znakomitą
m o ż liw o ś ć mik r o s e g me n t ac ji .
Polityki są centralnie zarządzane
i tworzone z jednego miejsca w konsoli
webowej vCenter (Rys. 8). Dzięki API
oraz modułowi „service insertion”
możemy zintegrować i przekierować
ruch do rozwiązań firm trzecich ( np.
Checkpoint, Fortinet, PaloAlto, TrendMicro) w celu głębszej inspekcji.
Reguły firewall-a mogą bazować
na element ach od war stwy
2 do warstwy 4 oraz do warstwy
7 w przypadku integracji z innymi
producentami zapór sieciowych.
W przypadku przeniesienia maszyny
wirtualnej na innego hosta, polityki
i t ablic a s t anu s e sji podą ż ają
za maszyną wirtualną.
Rys. 7
NSX Edge
Rys. 8
Distributed Firewall
Rys. 9
VPN
Load Balancing
L4-L7 load balancer z możliwością
S SL - off load. Ur uchamiany jest
na komponencie NSX Edge.
Główne funkcjonalności komponentu
to:
• wsparcie dla aplikacji działających
na TCP oraz UDP
• wiele algorytmów rozkładania
obciążenia: round-robin, least connections, source IP hash, URI
• wiele mechanizmów sprawdzania
stanu aplikacji: TCP, HT TP, HT TPS
włącznie z inspekcją zawartości
• persistence: Source IP, MSRDP,
cookie, ssl session-id
• limitowanie ilości połączeń: maksymalna ilość połączeń oraz maksymalna
ilość połączeń na sekundę
• manipulacja L7: URL block, URL
rewrite, content rewrite
• SSL ofload
• możliwość integracji z Load Balancerami 3-rd party (np. F5).
21
NOWOŚCI
VPN
Możliwość konfiguracji L 2 VPN, L3
VPN oraz SSL VPN obrazuje Rys. 9
(str. 21).
NSX Cross vCenter
W środowiskach z wieloma lokalizacjami posiadającymi własną instancję
vCenter, NSX umożliwia rozciągnięcie
fabryki pomiędzy nimi (Rys. 10).
Umożliwia to łatwe przenoszenie VM
pomiędzy lokalizacjami bez potrzeby
zmian parametrów sieciowych oraz
polityk bezpieczeństwa. NSX Manager
z każdej lokalizacji synchronizuje
obiekty i konfiguracje z głównym NSX
Managerem który pełni rolę Primary.
Pozostałe NSX Manager-y widnieją
jako Secondary. Dzięki takiemu
po ł ąc zeniu moż emy c entralnie
zarządzać całą siecią, politykami
bezpieczeństwa oraz monitoringiem.
22
Rys. 10 Cross vCenter pomiędzy dwoma lokalizacjami
STANDART
ADVANCED
ENTERPRISE
Distributed switching and routing
•
•
•
NSX Edge firewall
•
•
•
Licencjonowanie i wersje
produktu
NAT
•
•
•
Software L2 bridging to phisical environment
•
•
•
Dynamic routing with ECMP (active-active)
•
•
•
Vmware NSX występuje w trzech
edycjach: STANDARD, ADVANCED
i ENTERPRISE . Licencjonowany
jest per fizyczny procesor w hostach
ESXi. Tabela ( Tab. 1) przedstawia
funkcjonalności jakie są dostępne
w każdej wersji.
API-driven automation
•
•
•
Integration with vRealize and OpenStack
•
•
•
Log managment with vRealize Log Insight
•
•
•
Automation of security policies with vRealize
•
•
NSX Edge load balancing
•
•
Distributed firewalling
•
•
Integration with Active Directory
•
•
Server activity monitoring
•
•
Podsumowanie
Service insertion (third-party integration)
•
•
Integration with VMware AirWatch®
•
•
Vmware NSX to platforma, która wnosi
prostotę zarządzania, elastyczność,
wydajność oraz skalowalność. Wraz
z możliwościami tworzenia logicznych
siec i na ż ądanie , opierając się
na protokole V XL AN, dzięki NSX
Edge Services Gateway dostarcza
typowe usługi wykorzystywanie
w DC takie jak DHCP, DNS, NAT,
Load Balancing, Firewall. Wirtualizacja sieci to pełna reprodukcja sieci
fizycznej w ramach oprogramowania.
Sieci wirtualne oferują te same funkcje
i gwarancje, co sieci fizyczne, ale wiążą
Cross vCenter NSX
•
Multisite NSX optimizations
•
VPN (IPSEC and SSL)
•
Remote gateway
•
Integration with hardware VTEPs
•
Tab. 1
Wersje produktu
się z niższymi kosztami operacyjnymi
i większą niezależnością od sprzętu
wynikającą z wirtualizacji. Ponadto
zapewniają szybkie przydzielanie
zasobów, niepowodujące przerw
w działaniu wdrażanie, automatyczną
konserwację oraz obsługę zarówno
starszych, jak i nowych aplikacji.
M.Ch.
Numer: II/2016 (135)
Arista–producent innowacyjnych
rozwiązań
Niewiele ponad dekadę w przemyśle sieci komputerowych, a firma już zaskakuje
wydajnością swoich rozwiązań oraz szeroką gamą produktów skierowanych
do posiadaczy dużych środowisk Data Center. Udało się to osiągnąć poprzez
korzystanie z nowoczesnych układów ASIC, stworzenie oprogramowania
ułatwiającego zarządzanie oraz autorski, rozszerzaly system operacyjny
„Extensible Operating System”, EOS.
Arista Networks
Hardware
Firma założona w 2004 roku, z Centralą
w Santa Clara w Kalifornii. Specjalizacją Firmy jest dostarczanie wielowarstwowych przełączników nowej
generacji zgodnych z założeniami
SDN (Software-Defined Networking).
Przełączniki Aristy charakteryzują
się bardzo niskimi opóźnieniami,
w granicach 500 µs, niewielkim
zużyciem energii wynoszącym poniżej
1W per port oraz dużym zagęszczeniem
interfejsów przypadających na 1RU.
W 2 0 1 2 r ok u powy ż s ze z alety
uplasowały model 7124SX (Rys.1)
na pierwszej pozycji w rankingu
najszybszych przełączników.
Jak wcześniej zostało wspomniane,
urządzenia firmy Arista znajdują
zastosowanie szczególnie w dużych
centrach danych, aczkolwiek mogą
być stosowane również w sieciach
kampusowych. W ofercie znajdują
To nie koniec sukcesów na międzynarodowej arenie, ponieważ rok później
Arista została wyróżniona uzyskując
pierwsze miejsce – Innovation Awards
2013 w kategorii rozwiązań Cloud/
Datacenter (Rys. 2, str. 24).
Rys. 1
się zarówno małe pr ze ł ąc znik i
o wielkości 1RU, jak i duże, skalowalne
switche o modularnej konstrukcji.
Producent podzielił swoje produkty
na 10 rodzin urządzeń, z których
najważniejsze zostały przedstawione
na Rys. 3 (str. 24).
Przełącznik dostępowy Arista 7124SX
23
TECHNOLOGIE
z pozostałymi wiodącymi dostawcami
tej kategorii urządzeń.
EOS™ czyli Extensible
Operating System
Rys. 2
Nagroda dla Arista Networks
7500 ‘E’ Series
P r ze ł ąc znik i charak ter yzują
się dużą ilością portów o różnych
konfiguracjach przepustowości. Ciekawostką są wysokie osiągi urządzeń
nawet w przypadku najniższych
modeli. Przykładowo modele 7010
oraz 7048T osiągają przepustowości
na poziomie 176Gbps, model 7050X
jest w st anie przetwarzać dane
z prędkością 2,56Tbps, a rodzina 7500R
osiąga prawie 10Tbps przypadające
na jedną kartę liniową przełącznika.
Te parametry powodują, że przełączniki
Aristy z powodzeniem konkurują
Rys. 3
24
Swoją wysoką pozycję na rynku
roz wią z a ń siec iowych A r ist a
utrzymuje nie tylko dzięki urządzeniom
omówionym w poprzednim akapicie,
ale także dzięki swojemu własnemu,
innowacyjnemu systemowi operacyjnemu, który jest instalowany w tej
samej wersji na wszystkich modelach
urządzeń.
Firmowy EOS™ jest dziełem w całości
opartym na niezmodyfikowanym
jądrze systemu Linux Fedora. To
co wyróżnia go pośród innych jest
podział oprogramowania przełącznika
na ponad 100 osobnych procesów,
które nie komunikują się ze sobą
bezpośrednio, lecz wymieniają dane
poprzez centralne repozytorium.
Pozwala to uprościć projektowanie
logic znej współ pracy pomiędzy
Portfolio produktów Arista Networks
procesami oraz uniknąć kłopotliwych
z ale ż no ś c i pr z y wprowadz aniu
zmian w poszczególnych logicznych
częściach systemu.Dodatkowo każdy
z tych procesów ma własnego agenta
do obsługi konkretnej funkcjonalności
urządzenia. W rezultacie uzyskujemy
odseparowanie od siebie wszystkich
aktywnych protokołów i funkcji
co niesie za sobą dużo większe możliwości uniknięcia problemów wynikających z winy oprogramowania, niż
w przypadku systemów operacyjnych,
w k tór ych procesy komunikują
się bezpo średnio mię dzy sobą .
Przykładowo, gdy program pewnego
procesu ulegnie awarii, to użytkownik
traci możliwość korzystania tylko
z danej funkcji, a nie całego urządzenia.
Na tym nie koniec korzyści, ponieważ
dzięki temu architektura systemu
operacyjnego znacząco upraszcza
zrealizowanie funkcjonalności ISSU
(In-Service Software Upgrade), czyli
możliwości instalacji aktualizacji
oprogramowania w trakcie działania
urządzenia. Jest to bardzo duże udogodnienie dla użytkowników, którzy
Numer: II/2016 (135)
Mechanizm CloudVision, który jest
częścią EOS’a, rozszerza standardowe
CLI poprzez użycie XMPP jako wspólną
magistralę poleceń do zarządzania
i konfigurowania urządzeń (Rys. 4).
Ta funkcjonalność została zaimplementowana poprzez integrację istniejącej biblioteki open-source Python’a
XMPP z CLI. Efektem jest rozwiązanie,
które centralizuje logikę zarządzania
działaniem sieci oraz jest punktem
styku do zewnętrznej integracji
ze środowiskiem hypervisor’ów oraz
środowiskiem Software-Defined
Networking.
Rys. 4
Arista’s Universal Cloud Network
nie mogą, bądź nie chcą pozwolić
na przerywanie działania urządzenia.
Ze względu na to, że EOS działa
w oparciu o system Linux, posiada
możliwość jego programowania oraz
użycia typowych dla systemu Linux
narzędzi np. tcpdump czy też implementacji skryptów. System operacyjny Aristy zapewnia dopracowane
API do komunikacji i kontroli pracy
przełącznika. Zarządzanie może się
tak że odbywać poprzez autorske
rozwiązanie CloudVision.
Rys. 5
CloudVision – automatyzacja
provisioningu i zarządzania
Zaprojektowanie wysoce dostępnego
oraz odpornego na błędy systemu
op er ac yjnego by ł o dla A r is t y
pierwszym etapem budowy rozwiązania pozwalającego na automatyzac ję procesów wdra ż ania
i zarządzania siecią. Biorąc pod uwagę to,
że środowiska Data Center, w których
najczęściej stosowane są omawiane
rozwiązania zawiera dziesiątki czy setki
urządzeń z tysiącami portów, proces
wdrażania, konfigurowania i zarządzania stanowi nie lada wyzwanie.
Zero Touch Provisioning
CloudVision jest ważnym elementem
modelu st anowej bazy danych,
zwanej „SysDB”, która pośredniczy
w wymianie informacji pomiędzy
aktywnymi procesami składającymi
się na pracę EOS’a. W rezultacie SysDB
odbiera oraz przetrzymuje wszystkie
informacje o stanie urządzenia,
np. konfigurację, topologię sieci, stany
protokołów itd. Posiadanie tych informacji daje możliwość użycia ich w celu
zmiany stanu urządzenia.
Jednym z udogodnień jest Zero Touch
Provisioning (Rys. 5), które Arista
wprowadziła na rynku rozwiązań
sieciowych jako jedna z pierwszych.
Dzięki dostępowi do informacji
n a t e m a t u r z ą d z e ń o r a z Z T P,
użytkownik może automatycznie
dostarczyć wygenerowaną wcześniej
konfigurację /skrypt bez udziału
człowieka. Istnieje także możliwość
ręcznego zarządzania konfiguracją
na dowolnym urządzeniu. Wszystkie
powyższe funkcje są obsługiwane
przez tylko jedno narzędzie nazywane
„Network Provisioning Portal”(Rys.
6), gdzie administrator ma tak że
możliwoś ć stworzenia diagramu
logicznej topologii sieci, co dodatkowo
ułatwia zarządzanie.
D.Z.
Rys. 6 Network Provisioning Portal
25
TECHNOLOGIE
Przełączniki Przemysłowe Cisco
(Cisco Industrial Ethernet Switch)
W związku z rozwojem Smart City i Internet of Things (IoT) przemysłu
budowlanego czy transportu rośnie zapotrzebowanie na sprzęt niestandardowy
- tzn. mogący pracować w niskich lub wysokich temperaturach, będąc odpornym
na pyły, wilgoć, uderzenia - ale jednocześnie sprzęt, niezawodny, który będzie
pracował w zgodzie z ogólnie przyjętymi normami i standardami – sprzęt,
na którym można uruchomić i świadczyć różnego rodzaju usługi. To wszystko
przy jednoczesnej łatwości konfiguracji i wysokiej jakości mechanizmach
bezpieczeństwa swoich użytkowników.
Cisco Industrial Ethernet
Switch
Tu z pomocą przychodzi firma Cisco,
w k tórej ofercie moż na znaleź ć
Cisco Industrial Ethernet Switch
czyli przełączniki przemysłowe.
Przełączniki te znalazły zastosowanie
w m.in.:
•
•
•
•
•
•
26
Inteligentne miasta
Internet Rzeczy
Inteligentne systemy transportowe
Automatyka przemysłowa
Przemysł wydobywczy
Funkcje nadzoru i monitoring
Przemysłowe przełączniki sieciowe to
mieszanka niezawodności i dostępu do
wysokiej jakości technologii. Z pomocą
tych przełączników jesteśmy w stanie
szybko skalować swoją sieć w trudno
dostępnych punktach końcowych,
przy jednoc zesnym zachowaniu
bezpieczeństwa i odporności na różne
zakłócenia - równocześnie monitorując
naszą sieć.
Główne korzyści:
• wysoka jakość wykonania
• odporność na warunki zewnętrzne
• niezawodność
• skalowalność sieci
• łatwość instalacji
• niezawodny system operacyjny
IOS (jednolity z innymi przełącznikami Cisco)
• monit or owanie p ar ame t r ów
urządzenia w czasie rzeczywistym
• b e z p ie c z e ń s t w o u r z ą d z e nia
i użytkowników
• zasilanie innych urządzeń przez
porty PoE
Do przedstawicieli przemysłowych
przełączników należą:
• Cisco IE 1000
• Cisco IE 2000
• Cisco IE 3000
• Cisco IE 4000
• Cisco IE 4010
• Cisco IE 5000
Numer: II/2016 (135)
Porty
"RAM: 128 MB
Flash 160 MB "
4,8 ,16*
Fast Eethernet Uplink
1-2*
SFP Uplink
2*
Hardware
Tab. 1
PoE
4-8*
Temperatura Pracy
-40C** do 70C**
"Stopień ochrony
„International Protection
Rating”"
IP30
Parametry serii 1000; *- w zależności od modelu,** - w zależności od miejsca instalacji
2000 Series Switches
Przemysłowe przełączniki serii
2000 to przełączniki o kompaktowych
rozmiarach, wzmocnionej konstrukcji
oraz funkcjach dostępowych, które
obsługują bezpieczeństwo, głos
i wideo w sieciach przemysłowych.
Rys.1
L 3 (RIP, OSPF, EIGRP, VRF Lite),
EtherChannel
• bezpieczeństwo – SSH, Radius,
TAC ACS+, SNMPv3, port security,
802.1x, Strom Control
• zasilanie – redundantne zasilacze;
• zasilanie PoE – w zale ż noś ci
od modelu
• miejsce na kartę SD
• port mini-USB
Cisco IE 1000
Łatwo instalowany i zarządzany
przełącznik przemysłowy warstwy
2. Przełączniki Cisco IE serii 1000
zostały zaprojektowane z myślą
o niskich kosztach, małej liczbie portów
i małych rozmiarach. Rys. 1 przedstawia
przełącznik serii Cisco IE 1000, a w Tab.
1 przedstawiono wybrane parametry
tego przełącznika.
Przełączniki serii 2000 posiadają trzy
typy licencji w zależności od modelu:
• LAN Lite
• LAN Base
• Enhanced LAN Base
Przełącznik serii Cisco IE 2000 przedstawiono na Rys. 2, a w Tab. 2 zebrano
najważniejsze jego parametry.
Główne cechy i funkcjonalności:
• uruchamianie – bardzo szybki czas
uruchomienia (do 60 sekund)
• zarządzanie – Auto SmartPort, Web
Manager, Telnet, HTTPS, SNMP, CNA,
Cisco Prime Infrastructure
• funkcjonalności – NAT, routing
Tab. 2
Cisco IE 2000
Porty
"RAM: 256 MB
Karta Flash 1GB SD
Flash 64 MB "
1-20*
Fast Eethernet Uplink
4,8,16*
SFP Uplink
2-4*
Maksymalna prędkość
przełączania
7,8 Gbps
przekazywania
3,6 Gbps
Hardware
• uruchamianie – bardzo szybki czas
uruchomienia, tylko do 30s
• zarządzanie – Web Gui, SNMP,
Syslog
• zabezpieczenia – port security,
secure access
• funkcjonalności – VLAN, STP, MST,
LACP, Port Access Authentication
• zasilanie – redundantne zasilacze
• zasilanie PoE – od 4 do 8 portów
Rys.2
PoE
PoE lub PoE+*
Temperatura Pracy
-40C** do 85C**
"Stopień ochrony
Rating”"
IP30
Parametry Cisco IE 2000; *- w zależności od modelu,** -w zależności od miejsca
27
TECHNOLOGIE
Porty
"RAM: 128 MB
Flash 64 MB "
4 – 26*
SFP Uplink
2*
Hardware
Tab. 3
Moduł rozszerzający
Do 26 portów Fast Ethernet
przełączania
16 Gbps
przekazywania
6,5 Gbps
PoE
PoE lub PoE+*
Temperatura Pracy
-40C** do 85C**
"Stopień ochrony
Rating”"
IP20
(Rys. 4) jest niewielkich rozmiarów,
co ułatwia instalację w trudnych
miejsc ach. Wybrane parametr y
przełącznika Cisco IE 4000 przedstawiono w Tab. 4.
Parametry Cisco IE 3000; * -w zależności od modelu,** -w zależności od miejsca instalacji
- RIP, OSPF, EIGRP, VRF Lite, PIMSM, PIM-DM, PIM sparse-dense
mode
zasilanie PoE – w zalezności od modelu.
Przełączniki serii 3000 posiadają dwa
typy licencji w zależności od modelu:
LAN Base i IP Services.
Rys.3
Cisco IE 3000
Przełączniki przemysłowe serii 3000
(Rys. 3, Tab. 3) to rodzina przełączników, które pracują w warstwie L2
i L3 posiadają solidne zabezpieczenia
i innowacyjne rozwiązania oparte
o Cisco IOS.
• zarządzanie – CDM, CNA, Cisco
Prime, SSH, Telnet, SNMP
• funkcjonalności* – QoS, EtherChannel LACP, HSRP, IGMPv3, NAT;
• bezpieczeństwo (w zależności od
licencji) - SSH, Radius, TAC ACS+,
SNMPv3, port security, 802.1x, Strom
Control
• routing L3 (w zależności od licencji)
28
Prime, SSH, Telnet, SNMP, Digital
Optical Management
• warstwa 2 - V TPv2, NTP, UDLD,
CDP, LLDP
• funkcjonalności* – QoS, EtherChannel LACP, IGMPv3,NAT
• bezpiec zeństwo* - SC P, S SH,
SNMPv3, TACACS+, RADIUS Server/
Client, MAC Address Notification,
BPDU Guard, Port-Security, Private
VLAN, DHCP Snooping, Dynamic ARP
Inspection, IP Source Guard, 802.1x,
Guest VL AN, MAC Authentication
Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary
• routing L3* - OSPF, EIGRP, BGPv4,
IS-IS, RIPv2, Policy-Based Routing
to najnowszy dodatek w portfolio
pr zemys łowych pr ze ł ąc z ników
firmy Cisco. Posiadają wzmocnioną
konstrukcję i zapewniają doskonałe
parametry pracy również w oparciu
o Cisco IOS. Przełącznik serii 4000
Rys.4
Cisco IE 4000
Porty
"RAM: 1GB MB
Flash 128 MB
Karta SD 1GB"
8 – 20*
SFP Uplink
4-8*
Przełączanie bez blokowania
40 Gbps
PoE
PoE lub PoE+*
Temperatura Pracy
-40C** do 75C**
"Stopień ochrony
Rating”"
IP30
Hardware
Tab. 4
Parametry Cisco IE 4000;
*- w zależności od modelu,** - w zależności od miejsca instalacji
Numer: II/2016 (135)
(PBR), HSRP, VRF-lite, PIM- SM,
PIM-DM, PIM sparse-dense mode
od modelu
• port mini-USB
*w zależności od licencji
Rys. 5
Przełączniki serii 4000 (a tak że
opisanych poniżej 4010 i 5000)
również posiadają dwa typy licencji
w zależności od modelu: LAN Base
oraz IP Services.
Hardware
Porty
(Rys. 5) posiadają 28 interfejsów
Gigabit Ethernet, co czyni je doskonałymi wyborem jako przełączniki
dostępowe pracujące w trudnych
warunkach. Przełączniki tej serii
montowane są w szafach teleinformatycznych i pracują w warstwie
L 2 i L3. Posiadają web GUI oparte
o Express Setup co zapewnia łatwość
konfiguracji. Wybrane parametry
tej serii przedstawia Tab. 5.
Prime, SSH, Telnet, SNMP, Digital
Optical Management
CDP, LLDP
Cisco IE 4010
Tab. 5
"RAM: 1GB MB
Flash 256 MB
Karta SD 1GB"
12 – 28*
SFP Uplink
4
SFP Ethernet
12*
przełączania
56 Gbps
przekazywania
28 Gbps
PoE
PoE lub PoE+*
Temperatura Pracy
-40C** do 75C**
"Stopień ochrony
Rating”"
IP30
Parametry serii 4010; *w zależności od modelu,** w zależności od miejsca instalacji
od modelu
• port mini-USB
*w zależności od licencji
P rzemys łowe prze ł ąc zniki serii
5000 (Rys.6, str. 30) z czterema
por tami 10 Gigabit Ethernet lub
czterema portami 1 Gigabit Ethernet
jako uplink i 24 portami Gigabit
Ethernet jako por ty dostępowe.
Montowany w szafie teleinformatycznej, przełącznik jest odporny
na wstrząsy. Zapewnia łączność
nawet w najtrudniejszych warunkach
przemysłowych. Tab. 6 (str. 30)
przedstawia wybrane parametry
przełącznika Cisco IE 5000.
• zarządzanie – Fast Boot, Express
Setup, Web Device Manager, Cisco
Network Assistant, Cisco Prime Infrastructure, MIB, SmartPort, SNMP,
syslog
CDP, LLDP
29
TECHNOLOGIE
• zasilanie PoE – w zaleznoś c i
od modelu
• port mini-USB
* w zależności od licencji
Podsumowanie
W dobie informacji, gdzie lic zy
się każdy bit danych, a każde urządzenie
i każdy z nas chce być online, firmy
szukają rozwiązań zapewniających jak
najmniej zawodny dostęp sieci.
Ta kwestia dzisiaj nie pozostaje
bez znaczenia zwłaszcza
dla biz nesu . K a ż dy pot r zebuje
rozwiązania najlepszego dla swoich
potrzeb. Krótko scharakteryzowane
powyżej prze łąc zniki, znalazł y
już swoich odbiorców szczególnie
w t r ansp or c ie , budownic t wie ,
na platformach wiertniczych czy
w wojsku. Jest to dobre rozwiązanie
dla wymagających użytkowników.
Porty
"RAM: 1GB MB
Flash 256 MB
Karta SD 1GB"
12 – 28*
SFP Uplink 1G lub 10G
4
SFP Ethernet
12*
przełączania
56 Gbps – 128 Gbps*
przekazywania
28 Gbps – 64 Gbps*
PoE
PoE lub PoE+*
Temperatura Pracy
-40C** do 85C**
"Stopień ochrony
Rating”"
IP30
Hardware
Tab. 6
Parametry serii 5000; *w zależności od modelu,** w zależności od miejsca instalacji
Rys. 6 Cisco IE 5000
D.B.
30
Numer: II/2016 (135)
Digital Vault® ® – nowe spojrzenie
na bezpieczeństwo
Istnieje wielka ilość aspektów bezpieczeństwa analizowana podczas każdego
projektu. Departamenty bezpieczeństwa, opracowując wytyczne tworzą
politykę, która będzie chroniła firmę przed coraz to większą gamą zagrożeń.
Wspólne dyskusje, poruszają zagadnienia firewall’i czy rozwiązań IPS
chroniących
przed
zagrożeniami.
Coraz
więcej
firm
testuje
i rozważa zakup rozwiązań klasy sandbox, która odrodziła pamięć
o systemach AntiMalware i rzeczywiście dogania mit o możliwości
ochrony
przed
zagrożeniami
0-day.
Są
jednak
aspekty,
które
nie pojawiają się w rozważaniach lub są w dalszym ciągu marginalizowane.
Passwords
Bezpieczeństwo haseł, jak również
zarządzanie dostępem uprzywilejowanym nie kończy się na zdefiniowaniu polityki określającej złożoność
hasła i częstotliwości jego zmian.
Z pewnością podnosi to poziom bezpieczeństwa jednak nie chroni nas przed
jego kradzieżą i wykorzystaniem
go przez osoby postronne. Hasło
administratora raz zdobyte przez osobę
nieupoważnioną daje mu nieograniczony dostęp, a tego typu incydenty
są trudne do wykrycia i analizy.
Nasze sieci zbudowane są z dziesiątek
(jeśli nie setek) różnych urządzeń.
Każde z nich, od przełącznika do
zawansowanego firewall’a lub systemu
do ochrony aplikacji, posiada konta
administracyjne o różnym poziomie
uprzywilejowania. Same aplikacje
do poprawnego funkcjonowania
wymagają połączenia do baz danych,
które wymagają uwierzytelnienia.
Dowolny system wymaga dzisiaj
od nas podania poświadczeń, które
będą w stanie określić naszą tożsamość
oraz poziom uprawnień. Najbardziej newralgiczne jednak są konta
o najwyższym poziomie uprzywilejowania, czyli konta root, czy administratora. To one dają nam pełnie
władzy nad systemem. Dodatkowo
bardzo często do różnych systemów
w firmie wykorzystuje się te same
has ł a . Administ rat or def iniuje
identyczne na każdym z systemów
z osobna lub korzysta się centralnego
systemu do uwierzytelniania. Może
prowadzić to do sytuacji, w której
raz przechwycone hasło posłuży
atakującemu wielokrotnie i będzie
on w stanie spenetrować całą sieć.
Kradzież haseł nie jest niczym niespotykanym w dzisiejszych czasach
i dotyczy wielu sektorów rynku.
O tym zagadnieniu można między
innymi przeczytać na stronie sans.org
w artykule „Pass-the-hash attacks:
Tools and Mitigation”*.
Pierwszy etap rozwiązania
Problemem jest sposób zarządzania
użytkownikami i ich hasłami, które
zdefiniowane są na wielu systemach.
Wielokrotnie administratorzy nie mają
świadomości gdzie i kto jakie konto
posiada. Pracownicy również zmieniają
swoje stanowisko w firmie lub z tej
firmy odchodzą. Konta niejednokrotnie
zostają, zachęcając do ich korzystania
już w sposób nieuprawniony.
W tym obszarze bardzo ciekawym
r oz wią z aniem t ej k we s t ii je s t
gama produktów firmy CyberArk.
Firma ta oferuje specjalizowaną
grupę rozwiązań bezpieczeństwa
(Rys. 1, str. 32). Głównym aspektem jest
oczywiście proces zarządzania hasłami,
który został rozwinięty o funkcje
monitorowania i analizy w czasie
rzeczywistym sesji administracyjnych.
* - https://www.sans.org/reading-room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation-33283
31
TECHNOLOGIE
Rys. 1
32
lub w infrastrukturach chmurowych
• użytkownik wymagający dostępu
do zasobu musi wcześniej uwierzytelnić się w systemie CyberArk .
P r o duc ent z ap ewnia wsp ar c ie
dla szerokiej gamy mechanizmów,
od serwera LDAP, RADIUS po SecurID
i inne
• użytkownikowi otrzymuje dostęp
tylko do systemów do k tór ych
ma uprawnienia aby się zalogować
• system w tle, dla tego użytkownika
i dla sys t emu k t ór y się ł ą c z y
pobiera hasło ze skarbca i przesyła
je do systemu docelowego
• h a s ł o n i g d y n i e z n a j d z i e
się na komputerze użytkownika
Port folio produktów firmy CyberArk
W skład kompleksowej architektury
zabezpieczeń wchodzą następujące
komponenty:
• Enterprise Password Vault
• SSH Key Manager
• Privileged Session Manager
• Application Identity Manager
• On-Demand Privileges Manager
systemie np. RSA SecurID
• rygorystycznej kontroli dostępu
Ze wzglądu na swoją rolę, skarbiec
powinien pracować na dedykowanych serwerach, a celem zapewnienia jego wysokiej dostępności
stosuje się mechanizmy klastrowania
lub replikacji
Ż adne zło śliwe oprogramo wanie potencjalnie tam działające
nie ma możliwości, aby przechwycić
hasło podczas wpisywania go przez
użytkownika lub odczytać je z pamięci
komputera. Przykładowe zastosowanie zostało przedstawione na Rys. 3
S erc em produk tu jest skarbiec
(CyberArk Digital Vault® ). Stanowi
on centralne repozytorium przechowywanych danych (Rys. 2). Wszystkie
w nim dane gromadzone są w sejfach.
Każdy sejf posiada dedykowane
mechanizmy szyfrowania jak również
p a r a me t r y do s t ę pu . W s z e lk ie
akc je wykonywane w sk arbc u
są audytowane, a plik z logami zabezpieczony jest przed modyfikacją. Warto
zwrócić uwagę na fakt wykorzystania
szyfrowania hierarchicznego. Każdy
obiekt jest wielokrotnie szyfrowany
odpowiednio k luc zem obiek tu,
kluczem sejfu i kluczem skarbca.
System umoż liwia podł ąc zenie
do modułu HSM celem separacji
miejsca przechowywania klucza
od danych, które kluczem zostały
zaszyfrowane. Dodatkowo dostęp
do sejfu chroniony jest za pomocą:
• zapory sieciowej
• szyfrowanej komunikacji
• uwierzytelniania w zewnętrznym
Dysponując działającym skarbcem,
konieczne jest bezpieczne pobieranie
z niego haseł przez autoryzowanych
użytkowników. Do tego celu wykorzystujemy Password Vault Web Access.
Jest to aplikacja www, która zapewnia:
• dostęp do dowolnych zasobów
znajdujących się w naszej firmie
Podany przykład opisuje w jaki sposób
system działa w przypadku haseł.
Nic jednak nie stoi na przeszkodzie aby
wykorzystać go do uwierzytelniania
kluczami SSH.
Rys. 2
Technologia CyberArk Digital Vault®
Numer: II/2016 (135)
Rys. 3
Etap pierwszy: Enterprise Password Vault
Drugi etap rozwiązania
Trzeci etap rozwiązania
W pierwszym etapie zmieniliśmy
podejście do przechowywania haseł,
jak również zmianie uległ sam proces
dostępu administratora do systemów.
Kolejny etap zwraca uwagę na sam
proces zarządzania hasłami. Wiemy
już, że hasło bezpiecznie jest przesyłane
ze skarbca do systemu docelowego,
a użytkownik nigdy nie jest w jego
posiadaniu. Pozostała nam kwestia
zachowania zbieżności haseł w skarbcu
z tymi znajdującymi się na systemach
docelowych. Tym procesem zarządza
Central Policy Manager.
Jego podstawowymi zadaniami są:
• Zapewnienie zmian haseł w zaplanowanych interwałach
• Zachowania złożoności hasła
• Wybranie drogi jaką hasło zostanie
zmienione (SSH, WMI, …)
Finalnie otrzymujemy pewnoś ć ,
że skonfigurowane konta administracyjne, nie posiadają identycznych haseł
zdefiniowanych na różnych systemach.
Do tego poziom skomplikowania hasła
może być znacznie większy niż ten,
jaki jest w stanie zapamiętać człowiek.
Mając już system, który zapewnia
bezpieczny dostęp użytkownikom
uprzywilejowanym do zasobów, nic nie
stoi na przeszkodzie aby rozbudować
go o nowe możliwości. Dodatkowa
licencja umożliwi nagrywanie i analizowanie sesji administracyjnych. System
przede wszystkim spowodowuje,
że sesje będą: izolowane, kontrolowane, monitorowane.
Rys. 4
Sposób, w jaki Producent realizuje
tą funkcję, stanowi kolejny wyróżniający się element tego rozwiązania.
Od strony administratora, który
nawiązuje połączenie, nie muszą
nastąpić żadne zmiany sposobie
realizacji tego procesu. System może
działać z punktu widzenia administratora całkowicie transparentnie.
Etap trzeci: Privileged Session Manager
33
TECHNOLOGIE
O c z ywi ś c ie maj ą c na uwad z e
to, że system zapewnia izolację
połączenia przez zestawienie dwóch
niezależnych sesji pomiędzy komputerem administratora, a systemem
CyberArk PSM, a pomiędzy PSM
a stacja docelową, które to wymaga
parametryzacji klienta zestawiającego
połączenie. Istotą jest to, że system
wspiera ogromną gamę systemów
docelowych, do których możemy
się łączyć. Od standardowych sesji
ssh i rdp, po sesje bazodanowe sql,
klientem toad, czy Microsoft SQL
Studio. Docelowo możemy uzyskać
system, który nie posiada ograniczeń
w tym zakresie, ponieważ Producent
udostępnia język skryptowy, w którym
możemy opisać proces logowania
do dowolnego (nawet napisanego przez
nas) systemu.
W zakresie swoich możliwości warto
jeszcze zwrócić uwagę na:
• przerywanie aktualnie trwających
sesji
• nagrywanie sesji i zapisywanie
jej w formie zaszyfrowanej w skarbcu
• dodawanie metadanych do nagrań
które umożliwią szybkie ich przeszukiwanie i analizę
• analizę poleceń wykonywanych
przez administratora z możliwością
ich zablokowania jeśli są one potencjalnie niebezpieczne.
Przykładowe zastosowanie zostało
przedstawione na Rys.4 (str. 33).
Czwarty etap rozwiązania
Wracamy do zagadnienia początkowego. Hasła, a co za tym idzie
kont a u ż yt kowników z najdują
się w każdym zakamarku naszej sieci.
W etapie pierwszym wspomniałem
o zasobach, do których administratorzy łączą się w ramach swoich
codziennych obowiązków. Nie jest
to jedyny aspekt, który należy wziąć
pod uwagę w procesie budowania
polityki zarządzania hasłami i kontami.
Osobny rozdział stanowią aplikacje,
które do poprawnego funkcjonowania łączą się również do baz danych
czy do innych aplikacji, aby pobrać
34
Rys. 5
Etap czwarty: Application Identity Manager
lub zapisać informacje. Problem jest
istotny, ponieważ dane logowania
są często trzymane jawnym tekstem
w kodzie aplikacji. Z biegiem rozwoju
aplik ac ji z a z wyc z aj z ap omina
się gdzie, w którym pliku nasza
aplikacja nawią zuje połączenie.
Po stronie zewnętrznych systemów
ustalone raz hasło, nie zmienia się przez
wiele lat funkcjonowania aplikacji
w obawie pr zed moż liwymi
problemami, które mogą wystąpić
w jej działaniu.
W tym etapie CyberArk proponuje
rozwiązania Application Identity
Manager. Jest to API, które wykorzystujemy w kodzie aplikacji, aby
pobierać informacje o użytkowniku
na prawach k tórego nawią zuje
po ł ąc zenie . Ponownie i w tym
przypadku dane przechowywane
są bezpiecznie w skarbcu i nikt ,
włączając w to deweloperów, nie jest
świadomiy tego hasła. Przykładowe
zastosowanie zostało przedstawione
na Rys. 5.
Konkluzja
Opisane systemy cieszą się coraz
wię k sz ym z aint eresowaniem
na polskim rynku. Coraz więcej firm
zwraca uwagę na problem haseł i kont
uprzywilejowanych.
Istnieje kilka rozwiązań tego typu
na rynku, ale żadne w takim zakresie
nie prowadza kontroli w proces
zarządzania kontami uprzywilejowanymi jak również analizy sesji
administracyjnych.
Najważniejsze zalety rozwiązania
CyberArk:
• skarbiec, który chroni dane w nim
przetrzymywane w szczególności hasła
• pe ł na separacja sesji administracyjnych pomię dzy klientem
a serwerem docelowym
• w firmie można zrezygnować
lub mocno ograniczyć ilość serwerów
przesiadkowych (jump server)
• n a w i ą z a n i e s e s j i z d a l n e g o
dostępu następuje w ten sam sposób
jak do tej pory — inne są tylko
parametry połączenia
• og r omna ilo ś ć w spie r a nyc h
protokołów/aplikacji
• możliwoś ć dodania własnych
aplikacji
• wykrywanie haseł w aplikacjach
• moduł umożlwiający rezygnację
z implementacji hase ł w kodzie
aplikacji
Je ś li nie m a my ś w ia d o m o ś c i
w jakim zakresie problem nas dotyczy,
CyberA rk udost ępnia dar mowe
narzędzia na analizy naszej sieci.
CyberArk Discover and Audit (DNA),
skanuje naszą sieć i wskazuje jak duża
jest skala problemu. Wyniki dostępne
są w postaci raportu który może pomóc
przy podjęciu kolejnych kroków eliminacji problemu.
T.P.
Numer: II/2016 (135)
ASA z usługami FIREPOWER
(c.d.), cz.II - projektowanie
System Firewall jest istotnym elementem infrastruktury bezpieczeństwa
sieciowego każdej firmy. Wybór odpowiedniej platformy jest więc bardzo ważny
niezależnie od tego, czy wybieramy dla małej firmy czy ogromnej korporacji
telekomunikacyjnej.
Którą platformę wybrać?
Wybór rozwiązania firewall należy
rozpocząć od sformułowania kilku
podstawowych pytań technicznych
oraz biznesowych:
• Ile użytkowników liczy a ilu będzie
liczyć za rok ?
• O c hr ona ma dot yc z y ć t ylko
u ż yt kowników c z y t e ż c a ł ego
firmowego Data Center ?
• Ilu pracowników będzie pracować
z sieci zewnętrznych ?
• Ile sie c i V P N b ę d z ie t r zeba
uruchomić ?
• C z y k lient posiada oddz ia ł y
lub biura regionalne ? Ile placówek ?
• Czy chce posiadać połączenia Site
to Site ? Ile sesji i jaka topologia ?
• Czy oddziały działają autonomicznie, czy też korzystają z centralnego
serwera ?
• Czy przepustowość łącza internet owego s t anowi dla k lient a
poważny problem ? Jeżeli tak to czy
nie wprowadzić zarządzania pasmem
sieciowym QoS ?
• Czy serwer pocztowy jest krytyczny
dla działalności klienta ? Jeżeli tak
to firewall powinien działać jako
centralny system antywirusowy,
antyspam, filtrowanie adresów
i wykrywanie prób włamać ?
• Jak wydajnego rozwiązania klient
potrzebuje ?
• Ile interfejsów sieciowych powinien
mieć firewall, aby zapewnić bezproblemowe wdrożenie i zapas portów
na dłuższy czas ?
• Ile polityk systemowych będzie
na firewallu ?
Odpowiedzi na te wszystkie zagadnienia pomogą w doborze odpowiedniego urządzenia dla różnych klientów.
Dobór segmentu portfolio do
wielkości Firmy:
Wybór optymalnego systemu firewall
jest zależny od wielu czynników:
wielkości chronionej instalacji, oczekiwanych funkcjonalności ( VPN, IS,
zarządzanie pasmem), aktualnie posiadanych zasobów sprzętowych, wreszcie
Wielkość Firmy
Typowe cechy i wymagania
Kategoria dla ASA
Firma bardzo mała,
zatrudniająca do 20 osób
Minimalne zaangażowanie w bieżącą administrację systemem
firewall. Prostota konfiguracji.
SOHO
Firma mała zatrudniająca
50 osób
Średnie zaangażowanie w sprawy administracji systemem firewall.
Firmowy serwer Email i WWW wewnątrz sieci.
BRANCH Office
Firma średnia zatrudniająca
100 – 150 osób
Zatrudniony administrator odpowiedzialny za bezpieczeństwo.
Firmowy serwer Email i WWW wewnątrz sieci.
INTERNET EDGE
Firma duża zatrudniająca
powyżej 250 osób
Zatrudnionych co najmniej dwóch administratorów bezpieczeństwa.
Alternatywne łącze do Internetu. Firmowy serwer Email i WWW
wewnątrz sieci. Polityka bezpieczeństwa dotycząca treści: obejmuje
CAMPUS
dokumenty Email, zasady korzystania z zasobów WWW, itp.
Firma telekomunikacyjna,
dostawca usług ASP lub ISP
Tab. 1
Zatrudniony zespół administratorów bezpieczeństwa. Kilka alternatywnych łącz do Internetu. Zarządzanie zbiorem polityk bezpieczeństwa. Monitorowanie ruchu. Duże przepływności.
DATA CENTER and ISP
Zestawienie FIRMA/SEGMENT RYNKU
35
ROZWIĄZANIA
Feature
Cisco ASA 5512-X
Cisco ASA 5515-X
Cisco ASA 5525-X
Cisco ASA 5545-X
(Cisco ASA 5555-X)
Maximum application control (AVC)
throughput
300Mbps
500Mbps
1100Mbps
1500Mbps
(1750Mbps)
Maximum paalication control (AVC)
and IPS throughput
150Mbps
250Mbps
650Mbps
1000Mbps
(1250Mbps)
Maximum concurrent sessions
100000
250000
500000
750000
(1000000)
Maximum New Connections
per second
10000
15000
20000
30000
(50000)
Application control (AVC) or IPS
sizing throughput [440 byte HTTP]
10Mbps
150Mbps
375Mbps
575Mbps
(725Mbps)
Supported applications
More than 3000
URL categories
80+
Number of URLs categorized
More than 280 milion
Centralized configuration, logging,
monitoring and reporting
Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center
Cisco ASA 5585-X
SSP-10 w
Cisco ASA 5585-X
SSP-20w
Cisco ASA 5585-X
SSP-40w
Cisco ASA 5585-X
SSP-60w
Maximum application control (AVC)
throughput
4,5Gbps
7Gbps
10Gbps
15Gbps
Maximum paalication control (AVC)
and IPS throughput
2Gbps
3,5Gbps
6Gbps
10Gbps
500000
1000000
1800000
4000000
Maximum New Connections
per second
40000
75000
120000
160000
Application control (AVC) or IPS
sizing throughput [440 byte HTTP]
1,2Gbps
2Gbps
3,5Gbps
6Gbps
Supported applications
More than 3000
URL categories
80+
Number of URLs categorized
More than 280 milion
Centralized configuration, logging,
monitoring and reporting
Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center
Memory
24GB
Minimum flash
8GB
Managment and monitoring
interface
2 Ethernet
10/100/1000 ports
24GB
48GB
ASA 5506-X / Security
Plus
ASA 5506W-X /
Security Plus
ASA 5506H-X /
Securiy Plus
ASA 5508-X
Stateful inspection throughput
(max)
750Mbps
750Mbps
750Mbps
1Gbps
Stateful inspection throughput
(multiprotocol)
300Mbps
300Mbps
300Mbps
500Mbps
Maximum application visability
and control (AVC) throughput
250Mbps
250Mbps
250Mbps
450Mbps
Maximum AVC and NIGIPS
throughput
125Mbps
125Mbps
125Mbps
250Mbps
20000/50000
20000/50000
50000
100000
Maximum new connection per
second
5000
5000
5000
10000
Application control (AVC) or
NIGIPS sizing [440byte bytTP]
90Mbps
90Mbps
90Mbps
200Mbps
Packets per second (64 byte)
246900
246900
246900
694000
Tab. 2
36
12GB
Specyfikacje techniczne ASA
Numer: II/2016 (135)
Zakres funkcjonalności ASA z
FIREPOWER.
ASA implementując rozwiązania firmy
SourceFire dysponuje wieloma rozwiązaniami z zakresu Next Generation
Firewall: - Tab.3. Typową topologię
wdrożeń systemu przedstawiają
Rys.:1-4.
Podsumowanie
Rys.1
Rys.2
Rys.3
ASA w trybie transparentnym
Rys.4
ASA w trybie Multi-Context
ASA w segmencie agregacji
ASA w trybie wys. dostępności
kosztów jakie gotowi jesteśmy ponieść.
Można jednak przedstawić kilka reguł
i ścieżek postępowania -w zależności
od wielko ś c i pr zedsię bior s twa
i typowych dla niego oczekiwań
- Tab.1 (str. 35). Parametry techniczne
urzędzeń prezentuje Tab.2.
Jeżeli już wiemy, w którym segmencie
rynku znajduje się klient, możemy
przejść do analizy poszczególnych
parametrów ASA z danych znajdujących się w Tab. 2 oraz sklasyfikować
potrzeby wydajności sieci klienta
do pr op onowa ne go pr z e z na s
rozwiązania.
Cisco wraz z wejściem na rynek
z produktem NGF W goni rynek
security. Asa z usługami Firepower
to rozwiązanie łączące znane zapory
sieciowe Cisco z zaawansowanym
oprogramowaniem Sourcefire NextGeneration IP S oraz Advanced
Malware Protection co stworzyło
kompletny, zintegrowany system
bezpieczeństwa dla każdego segmentu
klientów. Rozwiązanie pozwala na
istotne zwiększenie ochrony systemów
IT, od centrów przetwarzania danych,
przez całościową infrastrukturę przedsiębiorstwa, do punktów końcowych.
Umożliwia kompleksowo identyfikację, zrozumienie i blokowanie
zaawansowanych zagrożeń w czasie
rzeczywistym, a także ich retrospektywną analizę.
M.G.
Usługi FIREPOWER
Opis
AVC
Jest to ochrona przed zaawansowanymi zagrożeniami Application Visibility and Control. AVC wspiera
ponad 3000 aplikacji w warstwie 7 oraz klasyfikuje ryzyko wystąpienia zagrożenia bazując na politykach
IPS co optymalizuje efektywność zabezpieczeń
NGIPS
Funkcja współpracuje z AVC, aby w pełni wspierać zapobieganie zagrożeniom dotyczących użytkowników,
infrastruktury, aplikacji poprzez odniesienie do kontekstu, co umożliwia wczesną automatyczną obronę
przed zagrożeniem
URL
Bazuje na reputacji i kategoriach filtrów URL. Posiada wczesne alarmowanie i zapewnia kontrolę nad
podejrzanym ruchem www. Baza posiada wpisy setek milionów adresów URL w ponad 80 kategoriach.
AMP
Posiada detekcję włamań i oferuje efektywną ochronę do zatrzymania malwaru i innych zagrożeń znajdujących się na innych warstwach zabezpieczeń
FireSIGHT
Jest to scentralizowana konsola zarządzająca i repozytorium bazy danych zdarzeń. Potrafi automatycznie
agregować i korelować intruza, pliki, malware, połączenia i wydajność wygenerowana przez samą Cisco
ASA z usługami FIREPOWER
Tab. 3
Usługi FIREPOWER
37
ROZWIĄZANIA
Szyna wymiany informacji Intel Security
McAfee Data Exchange Layer (DXL)
Zebranie razem wszystkich informacji o zagrożeniach z autonomicznych
systemów bezpieczeństwa pozostaje wciąż dużym wyzwaniem. Dzielenie
się szczegółowymi detalami o incydentach, wynikami śledztw na temat ataków
oraz odpowiadanie na nie jest wciąż procesem wysoce manualnym, a integracja
produktów typu point-to-point jest bardzo czasochłonna i trudna do utrzymania
patrząc z perspektywy czasu i kolejnych aktualizacji urządzeń.
DXL
McAfee Data Exchange Layer (DXL)
unifikuje rozproszone rozwiązania
różnych producentów aby umożliwić
natychmiastową komunikację i współpracę. Jest to dwukierunkowa, otwarta
platfor ma ł ąc z ąc a systemy
DXL Brokers
Podstawową jednostką budującą
architekturę DXL są komponenty
znane jako DX L broker s . Ł ąc z ą
w sobie rolę przyjmowania wiadomości od klientów i routowania
ich dalej. Wszyscy klienci DXL łączą
się bezpośrednio do brokera i utrzymują
stałe połączenie tak długo, jak należą
do DXL . Dodatkowo, wszystkie
brokery muszą utrzymywać połączenie
Pojęcie
Definicja
DXL
Data Exchange Layer
DXL Broker
klienci łączą się do DXL Broker aby należeć do sieci DXL. Cała komunikacja DXL odbywa się
poprzez DXL Broker
DXL Clients
jakiekolwiek urządzenie podpięte do sieci DXL nie świadczące usług routingu bądź przekazywania wiadomości DXL
ePO
Endpoint Policy Orchestrator – wielofunkcjonalny serwer do zarządzania i raportowania
bezpieczeństwa stacji końcowych
Fabric
połączona sieć DXL Broker używana do przesyłania informacji i podłączania do DXL
Hub
dwa DXL Broker połączone w jeden wirtualny byt dla zapewnienia HA
MQTT
protokół wymiany wiadomości do używania „na górze” protokołu TCP/IP oparty o model
publisher-subscriber – podstawa do stworzenia protokołu DXL
Services
komponenty, które używają DXL do komunikacji. Przykładami są takie usługi jak TIE czy
Active Response
TIE Client
klienci zarządzani przez ePO korzystający z usług serwera TIE
TIE Server
serwer TIE (lokalna baza reputacji)
Topic
topic można interpretować jako URL w sieci DXL. Jest to miejsce, gdzie usługi publikują
konkretne metody. Kiedy klient łączy się do DXL powiadamia Broker, jakie topics go
interesują.
Tab. 1
38
bezpieczeństwa w jeden ekosystem.
Pojęcia związane z DXL zebrane zostały
w Tab. 1.
Słownik pojęć
Numer: II/2016 (135)
Rys. 1
Zarys protokołu DXL z usługami TIE, ATD i ePO
ePO, zawiera ona certyfikat i klucz
do uwierzytelnienia do DXL broker
oraz list ę brokerów. Najbliż szy
broker ustalany jest za pomocą liczby
przeskoków ICMP. Jeżeli protokół
ICMP jest wyłączony w środowisku,
klient będzie się łączył do brokerów
metodą round-robin.
do najbliższego brokera i prosi o listę
subskrybowanych tematów (topics).
Gdy komunikacja jest już ustalona,
broker jest obciążony odpowiedzialnością przekazywania wiadomości
w od klientów do serwisów w DXL
i wiadomości zwrotnych (Rys. 1).
Client Broker Connections
DXL Clients
Połączenie od klienta jest wspierane
zarówno przez NAT jak i zapory
sieciowe. Można interpretować je
jak połączenie webowe SSL. Klient
musi być w stanie rozwiązać trasę do
serwera, natomiast serwer nie musi
znać trasy powrotnej bezpośrednio
do klienta. Gdy połączenie zostanie
zestawione, broker może kierować
wiadomości bezpośrednio do klienta
poprzez wc ześniej zainicjowane
połączenie.
Kiedy klient podłącza się do sieci
DXL, tworzone są trwałe połączenie
do najbliższego brokera i utrzymują
sesję TCP/IP do niego tak długo, jak
są podłączeni do sieci. Kiedy klient
otrzymuje politykę DXL od serwera
Połączoną sieć wielu DXL broker
nazywamy DXL Fabric. Komunikacja
DXL broker-to-broker jest kierunkowa
i odbywa się na tym samym porcie
(8883) co komunikacja klientów.
Na p o c z ą t k u k lie nt ł ą c z y si ę
między sobą, odkrywać i utrzymywać
usługi. Kiedy klient prosi o daną
usługę, obowiązkiem DXL broker jest
przekazanie jej dalej.
W iadomo ś c i DX L s ą dos t ę pne
w dwóch formach:
• 1-1 – jest to konkretna wiadomość
w danej usłudze. Przykładem może
być zapytanie o reputację albo aktualizacja bazy danych
• 1-Many – jest to wiadomoś ć
broadcast do wszystkich zainteresowanych klientów/usług. Przykładem
może być zmiana reputacji pliku lub
prośba, aby wybrani klienci wykonali
akcję (usunięcie pliku, itd.)
Client Broker Connections jest opcją
polityki ePO po stronie klienta, która
zapewnia kilka dodatkowych opcji
modyfikowania, jak klienci łączą się do
sieci DXL. Klient może być ograniczony
do połączeń tylko do konkretnego
brokera, huba lub gałęzi sieci. Klienci
mogą być również skonfigurowani
w sposób wymuszający podłączenie
do konkretnej części sieci, ale jednocześnie utrzymują możliwość podłączenia się gdzie indziej w przypadku,
gdy dany segment sieci będzie niedostępny. Domyślne ustawienia Client
Broker Connections nie posiadają
żadnych ograniczeń i są rekomendowanym ustawieniem.
39
ROZWIĄZANIA
DMZ Brokers
Co natomiast z klientami spoza naszej
organizacji próbującymi się przyłączyć
do sieci DX L ? Dla nich zost ał y
stworzone brokery ustawione w DMZ,
które zapewniają komunikację DXL
w stronę Internetu. Brokery w DMZ
muszą mieć publiczne System Name
(Published System Name) i publicznie
udostępniony adres IP (Published
IP Address) ustawione w zakładce DXL
Topology. Kiedy te dwa parametry
są obecne, wszystkie połączenia
wykonywane do tych brokerów
będą używały tych wartości zamiast
wewnętrznie raportowanych.
Ż adna dodatkowa konfigurac ja
nie jest wymagana, aby korzystać
z z ale t br oker ów DM Z . St ac je
końcowe z zewnątrz naszej organizacji
nie będą w stanie zobaczyć żadnych
wewnętrznych brokerów poza tymi
w DMZ i będą się łączyły domyślnie
z najbliższym z nich.
Hubs
W rozwią zaniu nie zapomniano
również o fakcie, że w świecie IT
ws z ys t ko mo ż e z awie ś ć . Dwa
brokery mogą zostać połąc zone
razem w celu stworzenia huba.
Hub dodaje funkcjonalność rozkładania ruchu między jego członków
oraz zapewnia wysoką dostępność
w konfiguracji active/active. Kiedy
hub jest stworzony, klienci losowo
wybiorą konkretny broker i przełączą
się na drugi w razie awarii.
Ogólną zasadą jest, że każdy broker
posiadający potomka (ang. children)
powinien w zamian być hubem, aby
uniknąć pojedynczego punktu awarii
spowodowanego podz ieleniem
s i ę f a b r i c a . D o d a t k o w o , hu b
powinien być utworzony wszędzie
t am, gdzie istnieje koniec znoś ć
połąc zenia kilku gałęzi fabrica.
40
Dla przykładu, Root Hub będzie hubem
ustawionym, by zapewniać komunikację między wszystkimi gałęziami
fabrica. Istotnym jest, aby ten punkt
był hubem, a nie pojedync zym
brokerem – awaria jednego z brokerów
w hubie nie spowoduje niepożądanej
fragmentacji fabrica.
Service Zones
Stefy usług (ang. Service Zones)
istnieją, aby zapewnić, że usługi
dostarczane są przez lokalne zasoby.
Strefa usług może być przypisana
do brokera albo huba. Strefa zawiera
wybranego brokera lub huba wraz
z jego potomkami, nawet jeżeli
one same mają swoje strefy usług.
Wsz ystk ie z apyt ania twor zone
są najpierw w zawieranej strefie,
a następnie przesyłane są do góry,
do wyższych stref usług, aż pożądana
usługa zostanie odnaleziona.
Jako przykład rozważmy klienta,
który działa w regionie Europy oraz
Azji. Powinien on w swojej topologii
rozważyć dwie strefy usług – po jednej
Rys. 2
Topologia z podziałem na strefy
na każdy region. Jeżeli w Europie
występują dwa główne centra danych,
najlepszym rozwiązaniem byłoby
zaimplementowanie oddzielnych
stref usług dla każdego z centrum.
Europejska strefa usług zawierałaby
wtedy dwie strefy usług w centrach
danych.
Zapytanie przychodzące do jednej
ze stref w europejskich data center
byłoby najpierw routowane do usług
w tej strefie. Jeżeli usługa nie zostałaby
tam odnaleziona, odpytana zostałaby
wyższa strefa usług – europejska.
W przypadku, gdyby poszukiwania
w tej strefie również zawiodły, cały
fabric zostałby przeanalizowany
w poszukiwaniu usł ugi zdolnej
obsłużyć to zapytanie.
Przykładowa topologia z podziałem
na strefy usług znajduje się na Rys. 2.
Dla prostej konfiguracji nie potrzebujemy stref usług. Jeżeli implementujemy tylko kilka brokerów i jedną
parę serwerów TIE, nie ma potrzeby
limitowania, gdzie dane usł ugi
są dostępne. Używajmy stref tylko
na potrzeby zapewnienia klientom
dostępu do usług najbliżej ich lokalizacji.
Numer: II/2016 (135)
Rys. 3
Przykładowy zaawansowany projekt DXL fabric
Pamiętajmy też, że nie wszystkie
usługi muszą znajdować się w każdej
ze stref, jako że wiele z nich będzie
miało pojedyncza instancję, która
z natury jest globalna
Łączenie DXL Fabrics
Z wypuszc zeniem DXL w wersji
1.1 i późniejszych, możemy łączyć
wiele DXL fabric zarządzanych przez
oddzielne instancje ePO. Kiedy fabric
są połączone (ang. bridged) klienci
mogą podłączyć się do dowolnego
brokera w tej spójnej sieci i dzielić
się usługami DXL.
Podczas łączenia fabriców rekomendowane jest, aby istniał top-level (root)
hub dedykowany do terminowania
połączeń i przekazywania ich. Diagram
na Rys. 3 pokazuje jak taka topologia
powinna wyglądać. Root hub powinien
być skonfigurowany tak, aby nie
akceptować połączeń klienckich,
a powinien świadczyć funkcjonalności
routowania wiadomości pomiędzy
dwoma połączonymi fabricami.
Podsumowanie
Technologia DXL może w przyszłości
zmienić sposób, w jaki komunikują
się między sobą urządzenia bezpieczeństwa. Z doświadczenia wiem,
że komunikacja po sieci DXL daje
niesamowicie niskie opóźnienia
w przesyłaniu krytycznych informacji
integrując ze sobą wiele systemów
jednocześnie. Firma Intel Security
stale rozbudowuje bazę vendorów,
którzy będą mogli korzystać z zalet
tego rozwiązania, sprawiając, że nawet
multi-vendorowe środowisko będzie
mogło być niedługo zamienione
w jeden spójny ekosystem. To z kolei
zapewni nam płynną i błyskawiczną
wymianę informacji o incydentach
bezpieczeństwa, co jeszcze bardziej
wzmocni naszą obronę przed zagrożeniami zarówno z zewnątrz, jak i tymi
wewnętrznymi.
K.O.
41
ROZWIĄZANIA
Wysokiej jakości rozwiązanie do konferencji wideo
WebEx Meeting Server
W dzisiejszych czasach firmy są rozproszone geograficznie, a kontakt z klientem
często realizowany jest na odległość. Ludzie nie mają czasu na ciągłe podróże,
więc bardzo ważnym elementem jest możliwość płynnej komunikacji.
Dawniej do realizacji spotkań na odległość wykorzystywano telefony oraz
pocztę elektroniczną. Obecnie technologie te są niewystraczające ze względu
na rozwijające się zapotrzebowanie na przekazywanie informacji. Rozwój
Internetu zaowocował stworzeniem wielozadaniowego narzędzia jakim jest
WebEx, który umożliwia nawiązywanie multimedialnych wideokonferencji.
Funkcjonalność
WebE x Meet ing S er ver je s t
bezpiecznym narzędziem do nawiązywania konferencji audiowizualnych
wysokiej jakości. Obraz transmitowany
jest w jakości HQ 360p. Po zainstalowaniu kilku dodatkowych narzędzi
ze strony Producenta można w pełni
korzystać z funkcjonalności WebEx-a.
Spotkania realizowane są za pomocą
konsoli konferencyjnej WebEx Meeting
Application na komputerach PC
(Rys. 1) i komputerach Apple z systemem
iOS. Za jej pomocą można uczestniczyć
w spotkaniach audiowizualnych,
współdzielić ekran w celu prezentacji
materiałów innym użytkownikom,
42
wysyłać pliki oraz nagrywać konferencję. Dostępny jest tak że czat,
Rys. 1
Panel konferencyjny
na k tór ym porozumiewamy
się za pomocą wiadomości tekstowych.
Numer: II/2016 (135)
Rys.2 Aplikacja WebEx w systemie
Android
Is t niej ą r ównie ż de dykowa ne
aplikacje na urządzenia mobilne Apple
i urządzenia z system operacyjnym
Android (Rys. 2), które są dostępne
do pobrania bezpośrednio w Apple
Market oraz Android Market. Aplikacja
umożliwia rozmowy audiowizualne,
korzystanie z czatu i nagrywanie
spotkań. Bardzo przydatną funkcją
WebEx-a jest możliwość integracji
go z pr og r a me m M S O u t lo ok
(Rys. 3) poprzez wykorzystanie Productivity Tools. Instalacja tego narzędzia
umożliwia tworzenie konferencji
z poziomu programu pocztowego.
Dodatkowo otrzymujemy plugin
WebEx A ssistant (Rys. 4), który
znajduje się w menu rozwijanym
dolnego paska systemu Windows.
Korzysta on z mechanizmów MS
Outlook, dzięki czemu można również
wykorzystać go do tworzenia spotkań.
Czasami istnieje potrzeba odtworzenia
danego spotkania lub chęć dodania
go na portal internetowy, na przykład
w celach szkoleniowych. W takim
przypadku przyjdzie nam z pomocą
WebEx Network Recording Player
(Rys. 5). Jest to program umożliwiający
odtwarzanie i pobieranie nagranych
konferencji w formacie .arf. Jest
to niestandardowy format, ale program
oferuje konwersję na jeden z trzech
formatów obsł ugiwanych przez
większość urządzeń : WMV (Windows
Media), SWF (Flash) i MP4 (MPEG4).
Oprócz nagranego dźwięku i obrazu
jest także podgląd czatu oraz dokładny
przebieg czasowy wszystkich zdarzeń,
które wystąpiły podczas spotkania.
Spotkania w systemie WebEx mogą
być tworzone czterema metodami:
za pomocą portalu Internetowego,
pluginu WebEx Assistant, poczty
elektronicznej MS Outlook oraz
aplikacji mobilnej. Jeżeli chodzi
o trzy pierwsze metody to mamy
możliwość utworzenia spotkań ad-hoc
- czyli rozpoczynających się w chwili
obecnej - oraz planowanych, czyli
Rys.3
WebEx w MS Outlook
Rys. 5
Network Recording Player
Rys.4
WebEx Assistant
rozpoczynających się w przyszłości.
Jeśli chodzi o aplikacje mobilne, nie ma
tutaj rozróżnienia na spotkania ad-hoc
i planowane. W obu przypadkach
procedura tworzenia konferencji jest
taka sama.
Ponadto WebEx Meeting Server daje
możliwość integracji z systemem
telefonii IP oraz urządzeniami działając ymi w sieci P S TN wykorzystując Cisco Unified Communication
43
ROZWIĄZANIA
Rys. 6 Architektura systemu WebEx
Manager. Połączenia realizowane
są poprzez usługę SIP Trunk, która
wykorzystuje sieć IP do realizacji
połączeń przychodzących i wychodzących. Taka integracja powoduje,
że urządzenia w sieci PSTN mogą
zdzwaniać się z systemem WebEx,
jak i są osiągalne przez system. Należy
zaznaczyć, że ten sposób komunikacji
umożliwia obecnie jedynie transmisję
dźwięku, bez transmisji wideo.
Architektura systemu
Cisco WebEx Meeting Server jest
zwir tualizowaną usł ugą opar t ą
na oprogramowaniu Cisco Unified
Computing System oraz VMware.
Architektura systemu (Rys. 6) składa
Rys. 7
44
się z szeregu współpracujących ze sobą
maszyn wirtualnych :
• Administration VM: Jest to centrum
zarządzania całym systemem. Zawiera
bazę danych systemu i zapewnia
funkcje administracyjne
• Media VM: Zapewnia usługi multimedialne (funkcje audiowizualne,
obsługa telefonów i spotkań). Media
VM zawarte jest w Administration VM
dla 50 jednoczesnych użytkowników
• Web VM: Zapewnia użytkownikom
i adminis t r at or om mo ż liw o ś ć
logowania się do systemu i korzystania z niego poprzez platformę
Internetową. Web VM zawarte jest
w Administration VM dla 50, 250 oraz
800 jednoczesnych użytkowników
systemu
Przykład redundantnego systemu dla 50 użytkowników
• Reverse Proxy: Zwiększa bezpieczeństwo firmy korzystającej z systemu
WebEx. Umożliwia użytkownikom
mobilnym dostęp do usługi poprzez
łącze publiczne (Internet)
Dla małych rozmiarów systemu
większość funkcji realizowane jest
w jednej masz ynie wir tualnej,
natomiast dla większych muszą zostać
stworzone osobne maszyny dla każdej
z funkcji.
System oferuje cztery pojemności :
50, 250, 800 i 2000 jednoczesnych
uczestników. Maksymalna pojemność
systemu oraz jego skalowalnoś ć
z ale ż nie od r oz miar u z najduje
się w Tab. 1 .
Numer: II/2016 (135)
Wirtualne maszyny
Liczba rdzeni
na serwerze z
procesora
oprogramowaniem (2.4 GHz
lub więcej)
ESXi
Pamięc RAM (GB)
Porty Ethernetowe
Wymagana
pojemność
dysku twardego
Wymagania dla systemu o pojemności 50 użytkowników
Admin
4 (ESXi 5.0), 6 (ESXi
5.1 +)
24
2 do Admin VM i 1
ESXi
1.5 TB, 7200 RPM
Admin i vCenter
6 (ESXi 5.0), 8 (ESXi
5.1+)
36
2 do Admin VM, 1 dla
vCenter i 1 do ESXi
1.5 TB, 7200 RPM
Reverse Proxy
4 (ESXi 5.0), 6 (ESXi
5.1+)
12
2 do Reverse Proxy
VM i 1 do ESXi
300 GB, 7200 RPM
Admin i Reverse
Proxy
8
36
2 do Admin VM,
2 do Reverse Proxy
VM i 1 do ESXi
1.5 TB, 7200 RPM
40
2 do Admin VM,
2 do Reverse Proxy
VM, 1 do vCenter i 1
do ESXi
1.5 TB, 7200 RPM
Admin, Reverse
Proxy
12
Admin i Media
12
52
2 do Reverse Proxy
VM, 1 do vCenter i 1
do ESXi
1.5 TB, 7200 RPM
Admin, Media i
vCenter
16
56
2 do Admin VM oraz
Media VM, 1 dla
vCenter i 1 do ESXi
1.5 TB, 7200 RPM
Reverse Proxy
12
36
2 do Reverse Proxy
VM i 1 do ESXi
300 GB, 7200 RPM
Admin i Media
40
80
2 do Admin VM oraz
Media VM i 1 ESXi
1.5 TB, 10000 RPM
Reverse Proxy
40
36
2 do Reverse Proxy
VM i 1 do ESXi
300 GB, 10000 RPM
Admin i Media
40
80
2 do Admin VM oraz
Media VM i 1 ESXi
1.5 TB, 10000 RPM
Media i Web
40
80
2 do Media VM oraz
Web VM i 1 do ESXi
1.5 TB, 7200 RPM
Reverse Proxy
40
36
2 do Reverse Proxy
VM i 1 do ESXi
300 GB, 10000 RPM
Tab. 1
Tabela informacyjna / wymagania dla systemów
45
ROZWIĄZANIA
Możliwe jest również stworzenie
systemu w wersji redundantnej poprzez
wykorzystanie szeregu maszyn wirtualnych (High-availability system).
Jeżeli system podstawowy ulegnie
awarii, wtedy HA będzie kontynuował działanie usługi. Rys. 7 (str. 44)
prezentuje przykład redundantnego
systemu dla 50 użytkowników.
Kwestia bezpieczeństwa
Istotną cechą systemu jest kwestia
bezpiec zeństwa. Aby zwiększyć
bezpieczeństwo WebEx, wdraża się
tzw. Reverse Proxy, który kontroluje
p o ł ą c z e nia z s ie c i p ub lic z n e j
(Internetu). Jest to serwer pośredniczący w wymianie danych pomiędzy
u ż ytkownik iem a systemem
WebEx. Dzięki takiemu rozwiązaniu
użytkownicy korzystający z Internetu
nie mają bezpośredniego dostępu do
sieci firmowej. Na wewnętrznym
firewallu nie ma otwartych żadnych
portów, więc sieć nie jest narażona na
niebezpieczeństwo z zewnątrz.
S esje u ż ytkownika końc owego
szyfrowane są za pomocą protokołów SSL i TLS, co uniemożliwia
podsłuchanie konferencji. Dotyczy
to zarówno strumienia audio oraz
wideo, a tak że prezentowanych
materiałów i wysyłanych plików.
W WebEx-ie korzysta się również
z c e r t yf ik a t ów, k t ór e z ap e w niają be z pie c z ną komunik ac je
pomiędzy elementami systemu.
Do tworzenia certyfikatów używane
się funkcje haszujące (SHA) i klucze
pr ywatne ( R S A ). C isc o WebEx
Meeting Ser ver wspiera cer tyfikaty zgodne ze standardem X.509
z kodowaniem PEM i DER oraz
z wykor zyst aniem szyfrowania
PKSC12.
WebEx Meeting Server umożliwia
korzystanie z usług katalogowych
wykor z ys tując pr ot okó ł L DA P
do zarz ądzania u ż ytkownikami
i uwierzytelniania. Dzięki temu
u ż yt kownik uz yskuje dost ę p
do systemu używając na przykład
firmowego adresu e-mail jako loginu
oraz hasła takiego jak w usłudze Active
Directory.
Wymagania sprzętowe
Jak w każdym systemie wideokonferencyjnym, tak i tutaj istnieje kwestia
minimalnych wymagań sprzętowych
-kiedy WebEx będzie działał prawidłowo. Tab. 1 prezentuje odpowiednie
wymagania z uwzględnieniem pojemności systemu : 50, 250, 800 i 2000
użytkowników.
Podsumowanie
WebE x Me e t ing je s t bar d zo
dobrym narzędziem do pracy online
w firmach składających się z wielu
rozproszonych oddziałów. Do prawidłowego działania usługi potrzebny
nam jest jedynie dostęp do Internetu
W dużych korporacjach do zalogowania się do systemu WebEx wykorzystuje się dane z Active Directory. Cisco
46
i odpowiednio skonfigurowane
urządzenie mobilne lub komputer PC.
WebEx pozwala na szybką i niezawodną komunikację. System jest
bardzo elastycznym rozwiązaniem.
Może z niego korzystać od kilku
do 2000 jednoczesnych użytkowników.
N.J.
Numer: II/2016 (135)
RSA
Advanced SOC
Zarządzanie środowiskiem informatycznym staje się coraz większym
wyzwaniem. Wraz z wzrostem technologii wzrasta również trudność ochrony
zasobów. Zespoły bezpieczeństwa potrzebują inteligentnych systemów
do zarządzania, monitorowania i chronienia krytycznych danych. Rozwiązania
oparte na sygnaturach i statycznej ochronie obecnie nie wystarczają
do zapobiegania atakom. Potrzebne są nowe rozwiązania zapewniające
całkowity przegląd środowiska informatycznego oraz analizujące zewnętrzne
źródła informacji o zagrożeniach. RSA staje naprzeciw tym wyzwaniom i oferuje
zaawansowane centrum ds. bezpieczeństwa (ang. Advanced Security Operation
Center – ASOC) czyli zintegrowany zestaw narzędzi do wczesnego wykrywania
ataków oraz podejmowania odpowiednich decyzji.
Architektura
Budowa ASOC polega na interaktywnym wykorzystaniu narzędzi
pr ze z ze spo ł y be z pie c ze ń s t wa
w celu stworzenia miejsca, gdzie dane
pozyskane z wielu źródeł zbudują
przejrzystość organizacji oraz pozwolą
na zidentyfikowanie najbardziej zagrożonych miejsc i zabezpieczeniu ich.
Rys. 1 przedstawia model systemu
analityki bezpieczeństwa, który jest
podzielony na tzw. fazy.
W fazie pierwszej wyróżniamy cztery
główne źródła danych, dzięki którym
uzyskujemy pełną widoczność w celu
określenia i zbadania ataków:
• pakiety sieciowe - przedstawiają
kompletny obraz zdarzeń z wybranych
miejsc w sieci
• logi - dost arc zają infor mac je
o zdarzeniach i działaniach dotyczących
systemu informatycznego
• przepływy NetFlow - zbierają informacje o ruchu w sieciach IP
• stacje końcowe - analizowanie
systemów operacyjnych w celu wykrywania złośliwego oprogramowania
Rys. 1
W fazie drugiej wykrywane i analizowane są zaawansowane ataki
pr z e d wp ł ywe m na d z ia ł a nie
środowisk produkcyjnych. Raportowanie, przeszukiwanie starszych
informacji o poprzednich zdarzeniach
oraz odpowiednie reguły pozwalają
Architektura RSA Advanced Security Operation Center
47
ROZWIĄZANIA
zespołom bezpieczeństwa na znajdowanie zagrożeń natychmiastowo .
Faza trzecia to podjęcie ukierunkowanych działań w celu zapobiegania
najważniejszym incydentom. Dzięki
odpowiednim narzędziom, które
dogłębnie analizują zebrane informacje
zespoły bezpieczeństwa są wstanie
zapobiec krytycznym atakom.
RSA Advanced SOC
(elementy składowe)
RSA Security Analytics
To platforma monitorująca, która jest
w stanie dostosować się do potrzeb
każdej organizacji. Zbiera dwa typy
danych z infrastruktury sieciowej
- pakiety danych oraz logi - dzięki
czemu pozwala na analizę całego ruchu
sieciowego. Kluczowymi aspektami
architektury są:
• rozproszone gromadzenie danych
z wykor z ys t aniem modu ł owej
architektury
• analizowanie 100% ruchu sieciowego
Rys. 2
48
i logów w czasie rzeczywistym
• magazynowanie zestawów danych
dotyczących bezpieczeństwa
• raportowanie, śledzenie i administrowanie danych
• k o r e l a c j a d a n y c h z i n n y m i
systemami
R SA Security Analytics obecnie
dostępny jest w wersji 10.6. Graficzny
interfejs użytkownika oparty jest
na pr z e g l ą da r c e int e r ne t ow e j
do administrowania architekturą,
konfiguracji ustawień oraz zarządzania prawami do określonych
zasobów. Poprzez wysoką intuicyjność,
szybką rejestrację i analizę danych
uruchamia odpowiednie alarmy
i gener uje rapor ty. Posiada
wbudowany interfejs do zarządzania
incydentami. Zapisuje sesje w celu ich
późniejszej analizy. Wyszukuje złośliwe
oprogramowania malware. Wydajny
interfejs śledczy, który jest prosty
w obsłudze, umożliwia przeszukiwanie
nie tylko surowych danych, lecz także
metadanych, a nawet obydwa typy
w tym samym momencie. Moduły
Integracja narzędzia RSA ECAT z innymi narzędziami
zostały podzielone w odpowiedni
i przejrzysty sposób. Moduł Live
centralnie zarządza subskrypcją
i dystrybucją danych. Moduł Administracyjny pozwala na sprawne zarządzanie urządzeniami.
Enterprise Compromise
Assessment Tool (RSA ECAT)
Narzędzie do wykrywania zagrożeń
na urządzeniach końcowych. Pomaga
wykrywać, analizować i odpowiadać
na zaawansowane szkodliwe oprogramowanie bez bazowania na sygnaturach . Udost ę pnia infor mac je
o rozpoznanych zagrożeniach. W prosty
sposób integruje się z pozostałymi
narzędziami rozwiązań RSA, przez
co zapewnia pełny wgląd w to,
co dzieje się w końcowych punktach
sieci (Rys. 2).
Zadania RSA ECAT:
• stałe monitorowanie wszystkich
urządzeń końcowych i ich aktywności. Pełny wgląd na to, co dzieje się
na danej maszynie, niezależnie od tego,
czy urządzenie jest podłączone do sieci
Numer: II/2016 (135)
• „głębokie” wnikanie w funkcjonowanie urządzeń końcowych polegające
między innymi na kontroli dysków
fizycznych, analizy przepływu ruchu
w sieci bądź monitorowaniu pamięci
• wykorzystywanie narzędzia ECAT
agent, który nie wpływa na działanie
urządzeń, a potrafi zebrać informacje
o zasobach i profilach urządzeń
końcowych
• a u t o m a t y c z n e s k a n o w a n i e
nieznanych plików, procesów, które
pojawią się na urządzeniu końcowym
• dynamiczne reagowanie na podejrzane działania i przypisywanie
im określonych flag w celu późniejszej
analizy. Wykorzystanie inteligentnego
algorytmu , który potrafi sam się uczyć.
Obecnie dostępna jest wersja RSA
EC AT 4.0. Jedna z ważniejszych
jej funkcjonalności to zmodyfikowana
baza danych, która przyspiesza analizę
danych oraz zwiększa obsługę serwera
do 50 tysięcy systemów końcowych.
Ponadto istotne są: zmodyfikowany
interfejs, prosty konfigurowalny pulpit
czy predefiniowane widgety, a także:
przenoszenie paneli na różne ekrany,
korelacja danych z Security Analytics
o podejrzanych incydentach oraz
aktualizowanie informacji o zagrożeniach za pomocą RSA Live. Należy
te ż wspomnie ć o wsparc iu
dla systemów Mac OS X.
Rys. 3
Integracja RSA SecOps z RSA Security Analytics
bezpieczeństwa używając standardowych protoko łów. Gromadzi
informacje w postaci kontekstów
z różnych źródeł. Analizuje konteksty
podc zas śledzenia inc ydentów.
Bazuje na najlepszych praktykach
zarządzania.
• Breach Response – z ar z ądz a
odpowiednimi zadaniami i procedu r a mi p o p r z e z a ng a ż ow a nie
kluczowych zainteresowanych
• SOC P rogram Management monitoruje kluc zowe wska źniki
efektywności i skuteczności, zarządza
całością „załogi”
• Business Risk Management - ocenia
ryzyko i wpływ incydentów bezpieczeństwa na działanie organizacji
RSA Security Operations
Management (SecOps)
RSA Advanced Cyber Defense
(ACD) Practice
Narzędzie pozwalające przedsię biorstwom na jednoczesne zgranie
ludzi, procesów oraz technologii
d o e fe k t yw n e go w yk r yw a nia
i o dp owiadania na inc ydent y
bezpieczeństwa (Rys. 3). Umożliwia
scentralizowane reagowanie na zagrożenia. Rozwiązanie out-of-the-box
służące do zarządzania incydentami,
ustawiania priorytetów przebiegu
prac. Odpowiednie raportowanie
o naruszaniu ochrony danych. Kontrolowanie efektywności zarządzania
bezpieczeństwem.
Kluczowe funkcjonalności:
• Incident Response- zbiera informacje
o zagrożeniach z różnych mechanizmów
Z est aw profesjonalnych us ł ug ,
które pomagają firmom poprawić
ich bezpieczeństwo oraz przygotować
j e n a m o ż liw o ś ć o d p o w i e d z i
na zagrożenia i możliwość ewoluowania w środowisku zagrożenia.
Usługi pomagają również w opracowaniu odpowiednich strategii i taktyk
w celu rozbudowy i poprawy bezpieczeństwa. Szczególny nacisk położony
jest na projektowanie i optymalizację
centów ds. bezpieczeństwa jak również
zespołów reagowania na incydenty
bezpiec zeństwa oraz efektywne
wykorzystywanie zagrożeń.
RSA Advanced Cyber Defense
Training & Certification
Zestaw kursów edukacyjnych, które
zapewniają kompleksową ścieżkę
nauczania dla analityków bezpieczeństwa. Szkolenia koncentrują
się na lepszym wykrywaniu i analizowaniu zagrożeń wpływających
na działanie organizacji. Kursy mają
na celu zachęcić klientów do zmiany
podejścia w zakresie bezpieczeństwa
IT z reaktywnego na proaktywne.
Czy warto?
Obecnie SIEM jest niewystarczający,
ponieważ jedynie ścisła współpraca
inteligentnych narzędzi może stworzyć
kompletną platformę do zarządzania
bezpieczeństwem. Również niezbędni
są ludzie oraz procedury zarządzające
posiadanymi narzędziami. Podsumowując, zaawansowane centrum
ds. bezpieczeństwa ASOC to idealne
rozwią zanie dla ka żdej organizacji, która ceni sobie najwyższe
standardy bezpieczeństwa. Odbiorca
otrzymuje platformę pozwalającą
na skrócenie czasu reakcji na ataki,
szybką i odpowiednią analizę zdarzeń,
informację o zasobach dotkniętych
zdarzeniem oraz opracowane środki
zaradcze.
P. R.
49
Jesteśmy wiodącym polskim integratorem technologii IT.
Bazując na produktach najlepszych światowych producentów
rozwiązań informatycznych oraz doskonałej wiedzy i wieloletnim
doświadczeniu naszej kadry inżynierskiej, dostarczamy naszym
Klientom kompletne systemy wspomagające i zabezpieczające
ich działalność biznesową.
SOLIDne Systemy
• Bezpieczeństwo IT
• Serwery i przechowywanie
danych
• Routing & Switching
SOLIDne Usługi
• Collaboration
• Wsparcie w utrzymaniu
sieci/systemów
• Dostawy sprzętu i usługi
gwarancyjne
• Doradztwo i projektowanie
• Serwis urządzeń
• Wdrożenia
SOLIDne
Oprogramowanie
• Profesjonalne
oprogramowanie
dla usług IT
Obszary działania SOLIDEX:
• Systemy bezpieczeństwa
• Systemy transmisji obrazu i głosu
• Sieciowe systemy transmisji danych
• Systemy przetwarzania i przechowywania danych
• Systemy zarządzania i utrzymywania infrastruktury teleinformatycznej
• Systamy dystrybucji treści
Centrala w Krakowie ul. J. Lea 124, 30-133 Kraków
tel. +48 12 638 04 80, fax: +48 12 638 04 70, e-mail: [email protected]
Wybrane referencje:
Bank Pekao S.A.
CanPack
Centrum Cyfrowej Administracji w Warszawie
Credit Agricole Bank Polska S.A.
Capgemini Polska Sp. z o.o.
Enea Operator Sp. z o.o.
Grupa ING
INEA S.A.
KGHM Polska Miedź S.A.
Komenda Główna Policji
mBank S.A.
Ministerstwo Finansów
Poczta Polska S.A.
Polkomtel S.A.
Polska Spółka Gazownictwa Sp. z o.o.
Vienna Insurance Group Polska Sp. z o.o.
Uniwersytet Jagielloński
UPC Polska Sp. z o.o.
www.SOLIDEX.com.pl
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944
Redakcja:
SOLIDEX S.A. ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
Oddano do druku: wrzesień 2016
Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli.
www.integrator.SOLIDEX.com.pl

kliknąć tu aby pobrać plik

Transkrypt

Podobne dokumenty

DPD Dodatkowe zalecenia - elektronika i sprzęt RTV AGD

Rysunek architektoniczno