W numerze między innymi: - Integrator

Transkrypt

Integrujemy przyszłość®
ISSN 1233–4944
Biuletyn Informacyjny SOLIDEX®
Nr IV/2014 (130)
już 25 lat
czytaj str. 4
W numerze
między innymi:
WYDARZENIA:
Raport z jesiennej akcji
„Porządek w Sieci 2014”
NOWOŚCI:
Cisco Mobility Services
Engine
TECHNOLOGIE:
Bądź gotowy - Check Point
Compliance
ROZWIĄZANIA:
Monitorowanie aplikacji w
sieci WLAN za pomocą Cisco
AVC
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning
Specialized Partner
Platinum Partner
Collaborative Certified
Support Provider
Platinum Partner
J-Partner Elite
Gold Partner
Elite Partner
Numer: IV/2014 (130)
Szanowni Państwo!
Przedstawiamy Państwu ostatni w tym roku numer naszego firmowego biuletynu informacyjnego INTEGRATOR.
W każdym wydaniu biuletynu prezentujemy artykuły, poprzez które staramy się na bieżąco informować Państwa
o nowościach i zmianach w branży.
INTEGRATOR jako niezależny kwartalnik od 1994 roku redagowany jest przez Zespół SOLIDEX, trafia do grupy kilku
tysięcy profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem
www.integrator.SOLIDEX.com.pl.
Życzymy przyjemnej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
Integrujemy przyszłość ®… już 25 lat
Raport z jesiennej akcji „Porządek w Sieci 2014”
SOLIDEX – pierwszy partner Cisco w Polsce – otrzymuje „złoto” już po raz 17!
SOLIDEX dostarcza sprzęt dla Uniwersytetu Jagiellońskiego
4
6
8
8
NOWOŚCI
9
15
Cisco Mobility Services Engine
Cisco ISE – „ISE + MDM – ciekawa kooperacja”
TECHNOLOGIE
21
25
29
Bądź zgodny – Check Point Compliance
F5 WebSafe & MobileSafe
Przegląd rozwiązań firmy Smart
ROZWIĄZANIA
32
36
40
44
Monitorowanie aplikacji w sieci WLAN za pomocą Cisco AVC
Rozwiązania Fiber to the Office (FTTO) firmy Microsens
Praktyczna implementacja tunelu Site-to-Site na routerach Cisco
F5 Networks Application Acceleration Manager (AAM)
WYDARZENIA
Integrujemy przyszłość ®… już 25 lat
Aż trudno uwierzyć, że 12 kwietnia 2015 roku minie już 25 lat, kiedy SOLIDEX
rozpoczął swoją działalność. Od tego czasu nieprzerwanie mamy możliwość,
a niejednokrotnie wyzwanie świadczyć naszym Klientom najwyższy poziom
usług na rynku IT. Blisko ćwierć wieku temu przy ulicy Kazimierza Wielkiego
w Krakowie zarejestrowano pierwsze biuro SOLIDEXu. Stanęło tam biurko
i maszyna do pisania, zaś kontakt ze światem zewnętrznym odbywał się
przy pomocy wolnostojącej budki telefonicznej. Od początku działalności
najważniejszą dewizą działania naszej firmy jest „SOLIDność w każdym
działaniu”. W tamtych czasach solidności tej mocno brakowało, a i dziś hasło to
jest niezmiernie aktualne.
Pierwszymi Klientami SOLIDEXu
byli wymagając y akademic y
z krakowskich uczelni, a partnerami
biznesowymi w większości zachodnioniemieckie firmy.
Wiosną 1991 roku SOLIDEX rozpoczął
współpracę z najlepszymi wówczas
firmami z rodowodem ze Stanford
University: Sun Microsystems i Cisco
Systems. W związku z rosnącymi
potrzebami firma przeniosła się do
swej nowej obszernej siedziby na
Piastowską 44.
Już po dwóch latach swej działalności
SOLIDEX zdobywał nowe doświadczenia w budowie połączeń LAN, WAN
i MAN zrealizowanych w Krakowie
i Warszawie, a potem w Gdańsku,
Toruniu czy Wrocławiu. Na bazie dostarczanych przez SOLIDEX rozwiązań
zaczął działać akademicki Internet
pod szyldem Naukowa i Akademicka
Sieć Komputerowa. W przeciągu roku,
z dużym wkładem SOLIDEXu, ponad
30 największych polskich uczelni
zostało połączonych w ogólnokrajową
4
sieć, a kolejne ośrodki w 10 najwięk- podpisał kontrak t na realizację
szych miastach przystąpiły do budowy projektu dużej sieci lokalnej z nową
wówczas technologią switchingu. Był
swych struktur MAN.
to pierwszy w historii firmy kontrakt
W roku 1993 SOLIDE X podpisał na sumę ponad 1 milion dolarów.
dwie pierwsze istotne umowy na SOLIDEX wzbogacił się również wtedy
rynku pozaakademickim na budowę o nowych Klientów, jakimi były
miejskich struktur opartych o FDDI agendy rządowe i nowopowstający
i światłowód łączących główne operatorzy komórkowi.
placówki Pekao S.A. w Warszawie,
a równolegle w Krakowie placówki W 1996 roku doświadczenie i rozwój
Banku Przemysłowo-Handlowego kompetencji nabywanych przez SOLIDEX
S.A. Był to również czas, gdy rozpoczął zaowocował przyznaniem pierwszej
działalność pierwszy odział SOLIDEXu firmie w Polsce certyfikatu „SILVER
CERTIFIED PARTNER” przez Cisco
w Warszawie.
Systems. Otwarty został trzeci już
W kolejnym roku działalności otwarty oddział spółki tym razem w Poznaniu.
został drugi oddział firmy, w Gdańsku. Rok później SOLIDEX zmienił swoja
Aby móc dzielić się swą wiedzą siedzibę centrali w Krakowie - od tego
i nowymi rozwiązaniami z zakresu IT, czasu siedziba mieści się przy ulicy Lea 124.
rozpoczęliśmy również wydawanie
branżowego biuletynu Integrator, W roku 1998, kiedy kadra naszych
który już od 20 lat po dziś dzień trafia in ż ynier ów zdoby ł a ju ż wiele
w formie tradycyjnej i elektronicznej wymaganych certyfikatów, SOLIDEX
awansował do grona złotych partnerów
do znaczącej liczby specjalistów IT.
W połowie lat 90-tych SOLIDEX Cisco i jako pierwszy w Polsce uzyskał
Numer: IV/2014 (130)
„GOLD CERTIFIED CISCO PARTNER”. Wiosną 2008 roku powstało nowo
Jednocześnie SOLIDE X otrzymał otwarte Centrum Kompetencyjnoautoryzację „CISCO CERTIFIED -Szkoleniowe SOLIDEX w warszawLEARNING PARTNER”, pozwalającą skich Złotych Tarasach, gdzie po 13
prowadzić liczne autoryzowane przez latach z biurowca LIM-Marriot został
producenta szkolenia.
przeniesiony warszawski oddział firmy.
wyróżnieniami, jak kolejny tytuł
Cisco Channel Customer Satisfaction
(CCCS) Excellence, statusy partnerskie
na poziomie Platinium firm Websense
i CheckPoint, czy tytuł Resseler of
the Year 2013 firmy CheckPoint za
największą sprzedaż.
Przez wszystkie lata SOLIDEX dbał, by
jego Klienci, Partnerzy i Sympatycy
mogli poszerzać swą wiedzę poprzez
bezpośredni kontakt z SOLIDnymi
E Xper tami, czego bezpośrednim
wyrazem są seminaria i konferencje,
które organizowaliśmy lub których
byliśmy współorganizatorami. Na
przełomie X X i X XI wieku dużym
zainteresowaniem cieszył się cykl
siedmiu edycji konferencji pod hasłem
„Sztuka Bezpiecznej Integracji”.
Rok 2000 to nie tylko koniec XX wieku,
ale i jubileusz 10-lecia SOLIDEXu,
którego potencjał wzrastał w szybkim
tempie. Potwierdzeniem tego stanu
rzeczy stał się fakt, iż nasza firma znalazła
się w pierwszej piątce w rankingach
polskiego rynku IT, a sprzedaż przekroczyła 120 milionów złotych.
W 2002 roku SOLIDEX uzyskał certyfikat jakości zgodnie z normą ISO
9001:2001. Do znaczących wyróżnień
zaliczyć należy też otrzymany tytuł
„Dobra Firma Małopolska 2002 ”
przyznany przez redakcję Rzeczpospolitej dla najszybciej rozwijających
się przedsiębiorstw, oraz tytuł „Gazeli
Biznesu 2002” od Pulsu Biznesu.
Rok później ważnym wydarzeniem
było zakończenie rozbudowy siedziby
firmy - w lutym nastąpiło oficjalne
otwarcie nowoczesnego Tęczowego
Biurowca w Krakowie z udziałem
oficjeli i naszych sympatyków.
Z końcem 2 0 0 4 roku SOL IDE X
ur uchomił nowoc zesny interaktywny serwis internetowy dla swoich
Klientów, działający do dziś pod
nazwą www.SOLIDnySerwis.pl.
K onie c pier ws z ej dek ady X X I
wieku owocował w potwierdzenia
niezmiennych kompetencji SOLIDEXu
jakimi były między innymi: uzyskanie
dyplomu dla najlepszego polskiego
partnera „Check Point & Clico Achievement Award 2008”, statuetka
„Solidnego Partnera” od DNS oraz
wyróżnienie w rankingu Diamenty
Forbesa 2009, a tak że ponowne
uzyskanie tytułu Cisco Customer Satisfaction Excellence.
W roku 2011 SOLIDEX spełniając
wszystkie wymagania postawione
przez firmę F5 Networks, jako pierwszy
w Polsce uzyskał najwyższy poziom
partnerstwa - UNITY GOLD PARTNER.
Ostatnie lata działalności firmy to
udział w wielu zaawansowanych
projektach m.in. wyposażeniu nowego
budynku krakowskiej AGH w technologię firmy Cisco i świadczenie usług
zarządzania w obszarze ICT w kilku
obiektach stadionowych w ramach
Euro 2012 . To również czas utrzymania i podnoszenia swych kompetencji potwierdzonych lic znymi
Od 2013 roku, mamy przyjemność
s p o t yk a ć s i ę z P a ń s t w e m n a
wiosennych i jesiennych odsłonach
akcji „Porządek w Sieci”, na których
nasi inżynierowie na wykładach
i ciekawych pokazach „na żywo” dzielą
się doświadczeniem i pokazują nowe
rozwiązania w świecie IT.
Doświadczenie zdobyte przez 25 lat
działalności w postaci tysięcy kontraktów,
wdrożeń, uzyskanych certyfikatów
i wyróżnień, dają SOLIDEXowi ciągle
stabilne miejsce w czołówce polskich
integratorów sieciowych.
To dzięki naszym Klientom i dla nich
niezmiennie stawiamy na kształcenie
naszej kadry i najlepszą jakość świadczonych usług.
Z tego miejsca dziękujemy Państwu za
wszystkie lata współpracy i zaufania.
Natomiast Klientom, którzy dopiero
zaczynają korzystać z naszych usług
życzymy satysfakcji z podjętych decyzji
co do wyboru SOLIDnego EXperta
w dziedzinie IT.
Zespół SOLIDEX
5
WYDARZENIA
Raport z jesiennej akcji
„Porządek w Sieci 2014”
Blisko ćwierć wieku doświadczeń SOLIDEXu w integracji sieciowej w Polsce
to niewyczerpalne źródło solidnej wiedzy, którą chcemy się dzielić z naszymi
Klientami odpowiedzialnymi za infrastrukturę sieciową. Dlatego też tegorocznej
jesieni – już po raz czwarty – odbyła się kolejna seria spotkań w ramach akcji
„Porządek w Sieci 2014”.
Miło nam, że seminaria nieprzerwanie
cieszą się dużym Państwa zainteresowaniem i stają się obowiązkowym
punktem w kalendarzu każdego
sympatyka i eksperta w dziedzinie
infrastruktury IT. Wielu z naszych gości,
doceniając profesjonalizm prezentowanych sesji, powraca do nas z każdą
kolejną edycją. Niezmiernie miło nam
jest gościć również nowych uczestników, chcących poszerzyć swoją
wiedzę z zakresu szerokorozumianej
infrastruktury sieciowej.
Tradycyjnie z naszymi prezentacjami
odwiedziliśmy miasta, gdzie mieszczą
się siedziby oddziałów naszej firmy
(Gdańsk, Poznań, Wrocław, Warszawa),
ostatnie seminarium zwyczajowo
odbyło się w centrali w Tęczowym
Biurowcu SOLIDEX w Krakowie.
Seminaria poprowadzone były w nieco
6
zmienionej formie: nasi SOLIDni
Experci zaprezentowali trzy zamiast
dotychczasowych czterech sesji. Na
każdą z nich przeznaczono więcej czasu,
by nasi inżynierowie w większych
szc zegó łach mogli opowiedzieć
o możliwościach każdego z prezentowanych rozwiązań oraz precyzyjnie udzielić odpowiedzi na każde
nurtujące pytania naszych Klientów.
Całość naszych prezentacji odbyła
się pod hasłem „Sztuka Powietrznej
Integracji”, a poruszane tematy,
uzupełnione o praktyczne pokazy,
tym razem skupiały się na integracji
sieci bezprzewodowych z systemami
bezpieczeństwa. Nasze laboratorium
demonstracyjne – będące nieodzownym
punktem każdej sesji – było gotowym
przepisem na niezawodną i bezpieczną
sieć bezprzewodową.
W ramach prelekcji zaprezentowano
następujące tematy:
Ochrona użytkowników i infrastruktury prywatnej sieci WiFi.
W iele organiz ac ji chc e u ż ywać
sieci prywatnych Wi-Fi nie tylko
jako podst awowego środka do
łączności z Internetem, ale również
jako platfor my do dost arc zania
usług mobilnych. Dzięki systemowi
W ir ele s s Int r usion P r event ion
System (wIP S) będziemy chronić
się przed szkodliwymi urządzeniami
bezprzewodowymi, dest abilizującymi pracę infrastruktury, oraz
atakami skierowanymi bezpośrednio
na sieć WiFi. Przedstawiona została
możliwość agregacji kluczowych
informacji o stanie sieci Wi-Fi oraz
urządzeniach w niej pracujących.
Skuteczne zarządzanie infrastrukturą
Numer: IV/2014 (130)
zabezpieczeń sieci bezprzewodowych
Wraz z rosnącą liczbą urządzeń bezprzewodowych, podsieci oraz realizowanych
usług mobilnych rośnie również liczba reguł
i polityk w każdym systemie zabezpieczeń.
Na przykładzie typowego systemu zabezpieczeń zaprezentowano, jak skutecznie chronić
użytkowników bezprzewodowych przed
współczesnymi „cyber” zagrożeniami.
Bezpieczne i niezawodne udostępnianie
aplikacji dla użytkowników mobilnych
Nowym wyzwaniem stawianymi przed
organizacjami jest bezpieczne i niezawodne
dostarczanie aplikacji dla użytkowników
mobilnych. Pomóc w tym zakresie może
integracja wirtualnych systemów z rozwiązaniami firmy F5 Networks. Rozwiązaniem
gwarantującym wysoką dostępność i niezawodnoś ć usł ug jest w tym przypadku
wykorzystanie technik optymalizacji ruchu
sieciowego.
Mamy nadz ieję , ż e udz ia ł w nasz ych
wyk ł adac h poz woli ł uc ze s t nikom na
zdobyc ie dodat kowych umieję t no ś c i,
a zarazem był motywatorem do dalszego
zgłębiania omawianych tematów. Aby
p omó c P a ń s t wu w u z ysk aniu do dat k o w y c h i nf o r m a c j i n a i n t e r e s u j ą c e
tematy, zachęcamy do kontaktu z naszymi
inżynierami.
Miło nam pochwalić się wzrostem frekwencji,
jaki odnotowaliśmy na tegorocznej jesiennej
akcji „Porządek w Sieci 2014”. Mamy nadzieje,
że jest to dowodem na trafność doboru interesującej tematyki oraz tego, jak wysoko cenią sobie
Państwo spotkanie z naszymi inżynierami.
Cieszą nas dyskusje i pytania zadawane
podczas prelekcji, które nie dość że ożywiają
nasze spotkania, to dodatkowo pozwalają na
wyjaśnienie intrygujących Państwa zagadnień.
Serdecznie dziękujemy wszystkim uczestnikom za opinie i uwagi, które motywują nasz
zespół do większego wysiłku w celu sprostania
rosnącym wymaganiom naszych Klientów. Już
dziś mamy przyjemność zaprosić Państwa na
kolejną, piątą edycję akcji „Porządek w Sieci”
– tym razem na wiosnę 2015. Dokładamy
wszelkich starań, aby spotkała się ona z równie
dużym zainteresowaniem z Państwa strony.
Zespół SOLIDEX
7
WYDARZENIA
SOLIDEX – pierwszy partner Cisco w Polsce – otrzymuje „złoto” już po raz 17!
Niezmiernie miło nam poinformować, że po wnikliwej analizie poprzedzonej badaniem kompetencji i zasobów
firma Cisco pogratulowała SOLIDEXowi recertyfikacji Cisco GOLD Certified Partner na kolejny rok.
To zaangażowanie i cię żka praca
naszej kadry powodują, że Cisco
docenia współpracę i widzi niepodważalną jakość partnera. Potwierdzeniem tego stanu rzeczy są słowa:
„Przyznanie SOLIDEX statusu Cisco
GOLD Certified Partner jest wynikiem
wybitnej jakości współpracy przez
ostatni rok. SOLIDEX po raz kolejny
sprostał wszystkim wymaganiom
c er tyf ik ac ji GOL D prezentując
zarówno wyspecjalizowaną kadrę
inżynierską i handlową, świetny
poziom serwisu, jak również różnorodny i wysoki stopień specjalizacji.
Wasza firma jak co roku udowadnia,
że posiada zdolność do oferowania,
sprzedaży i serwisowania produktów
Cisco w Polsce”.
SOLIDEX jest uprawniony do prowadzenia projektów, składania ofert,
doradztwa, wdrożeń i świadczenia
usług serwisowych w zakresie instalacji sieciowych opartych na sprzęcie
i oprogramowaniu Cisco Systems na
podstawie umowy podpisanej po raz
pierwszy w 1991 roku.
Posiadany przez SOLIDEX i utrzymywany nieprzerwanie od siedemnastu lat status par tnerski Gold
uprawnia nas w szczególności do
sprzedaży, projektowania i uruchamiania systemów opartych na technologiach Cisco oraz sprzedaży, instalacji
oraz świadczenia serwisu dla oprogra-
mowania zarządzającego Cisco.
SOLIDEX już od 1998 roku posiada
również certyfikat CISCO Learning
Partner będący gwarancją najwyższego światowego poziomu prowadzenia autoryzowanych szkoleń
CISCO Systems.
SOLIDEX dostarcza sprzęt dla Uniwersytetu Jagiellońskiego
SOLIDEX S.A. po raz kolejny potwierdził
swoją silną pozycję na krakowskim rynku
publicznym pozyskując z początkiem
listopada 2014 roku zamówienie na
dostawę urządzeń komputerowych
i oprogramowania dla Uniwersytetu
8
Jagiellońskiego. W ramach kontraktu
dostarczone zostały urządzenia, akcesoria
i elementy komputerowe oraz oprogramowanie składające się na zwirtualizowaną platformę serwerową. Stanowi
ona środowisko dla uruchomienia usług
IT UJ, zawierającą między innymi:
redundantne przełączniki rdzeniowe
i agregujące, serwery typu blade, serwer
plików oraz oprogramowanie zabezpieczające i systemy służące do zarządzania.
Numer: IV/2014 (130)
Cisco Mobility Services Engine
Temat Wi-Fi jest obecnie jednym z najczęściej podejmowanych wśród
administratorów oraz użytkowników sieci Internet. Sieci budowane w oparciu
o standard IEEE 802.11 stają się nieodzownym elementem naszego życia. Rozwój
prędkości, parametryzacja powstających standardów oraz wszechobecny
bezprzewodowy dostęp do Internetu mogą świadczyć tylko i wyłącznie o tym,
że istnieje duże zapotrzebowanie ze strony konsumentów-czyli niejako nas
wszystkich – na taki rodzaj rozwiązań.
Geneza powstania, czyli skąd
pomysł
Za pomocą standardu IEEE 802.11
możemy budować sieci lokalne
L AN, rozległe sieci internetowe
WAN, a także wykorzystywać go do
tworzenia powszechnie dziś znanych
punktów dostępowych. Coraz częściej
podkreśla się także, że platforma Wi-Fi
może być także wykorzystywana
nie tylko jako podstawowa metoda
podłączenia do sieci, ale również
jako narzędzie do dostarczania wielorakich usług mobilnych oraz szeroko
rozumianych procesów biznesowych.
Zapewnienie dostępu do Internetu
przez administratorów za pomocą sieci
Sieci LAN
Sieci WAN
WiFi
Punkty
dostępu
Biznes?!
Bezpieczeństwo
Rys. 1. Wi-Fi jako platforma do dostarczania innowacyjnych usług mobilnych
9
NOWOŚCI
Wi-Fi jest nie lada wyzwaniem, jednak
spełnienie tego wymagania niesie za
sobą inne problemy, które w głównej
mierze związane są z bezpieczeństwem
oraz niezawodnością działania.
Fir ma C isc o widz ąc pr z yszło ś ć
w rozwiązaniach skierowanych dla
urządzeń mobilnych wprowadziło
na rynek produkt Mobility Services
Engine, który pozwoli organizacjom lub
dostawcom wykorzystującym Wi-Fi
zwiększyć swoja widoczność w sieci,
a także zwiększyć bezpieczeństwo
swoich sieci bezprzewodowych.
pozwalająca także monitorować obecność danego użytkownika bądź ramki
RFID w danej wirtualnej strefie na
mapie. Jest także rozszerzeniem funkcjonalności zaawansowanej technologii Cisco CleanAir pozwalającej
wykrywać, analizować oraz przeciwdziałać zakłóceniom, które wpływają
na jakość działania sieci bezprzewodowej. Base Location Services posiada
także zestaw narzędzi programistycznych oraz otwarte API, pozwalające na
tworzenie własnych rozwiązań, skierowanych głównie dla użytkowników
urządzeń mobilnych np. wewnętrzCo potrafi Mobility Services
nego systemu nawigacji.
Rozwiązanie Base Location Services
Engine?
stosowane jest wszędzie tam, gdzie
Na rozwią zanie platformy MSE wymaga się ciągłej kontroli oraz
monitorowania użytkowników bądź
składają się takie usługi jak:
• Base Location Services (BSL) – to obiektów. Są to: szpitale, fabryki,
podstawowa funkcjonalność systemu kampusy uczelniane, hale sklepowe
MSE. Dzięki niej administrator może i magazynowe, czyli pomieszczenia
zaglądnąć w głąb istniejącej sieci posiadające wrażliwy mobilny sprzęt,
Wi-Fi oraz wydobyć z niej kluczowe który musi być monitorowany, a inforinformacje dotyczące konkretnych macja o jego położeniu lub też zaginięciu
użytkowników, takie jak: lokalizacja, powinna być dostępna on-line.
czas logowania czy sposób przemiesz- • Connected Mobile Experiences
czania wraz z pełną historią zmiany (CMX) – to kolejna platforma w jaką
lokalizacji. Base Location to usługa zostało wyposażone MSE. Dzięki niej
możemy dostarczyć spersonalizowane
usługi mobilne końcowym użytkownikom, a sami jako administratorzy
sieci możemy dokonywać analiz
dotyczących liczby zalogowanych
Rys. 2. Wewnętrzny system nawigacji
dostarczony na urządzenie mobilne za
pomocą Base Location Services
10
użytkowników, ich lojalności, czasów
logowań oraz wzorców przemieszczania się.
C M X za pomoc ą uproszc zonego
Captive portalu oraz dzięki powiązaniu z portalem społecznościowym
Facebook pozwala użytkownikom
zautentykować się do sieci w uproszczony sposób. Jest narzędziem umożliwiającym bezpośrednią interakcję
z uż ytkownikami mobilnymi za
pomocą powiadomień typu „push”.
CMX wykorzystywany jest jako
narzędzie biznesowe wszędzie tam,
gdzie potrzebna jest personalna
komunikac ja z u ż yt kownik iem
mobilnym, a tak że gdy zachodzi
konie c z no ś ć dokonania analiz
zachowań gości zasocjowanych do
naszej sieci bezprzewodowej.
• Wireless Intrusion Prevention
System (wIPS) – to system bezpieczeństwa dedykowany specjalnie
dla sieci bezprzewodowych. wIPS
monitoruje i potrafi chronić sieć oraz
użytkowników przed wszelkiego
rodzaju atakami penetracyjnymi,
nieuczciwymi urządzeniami bezprzewodowymi oraz atakami typu Denial-of-Service (DoS). Poprzez lokalizację
na mapie fałszywych punktów dostępowych, hakerów oraz ofiar (w trybie
on -line z mo ż liwo ś c ią wglądu
w historię), informowanie administratorów o „słabych punktach” sieci,
Rys. 3. Mapa 3D zawierająca informacje o miejscu logowania danego użytkownika do
sieci oraz jego ścieżce przejścia
Numer: IV/2014 (130)
Przede wszystkim zdarzenia nie są
korelatywne: jedno zdarzenie widziane
jest przez wszystkie access pointy
jako różne, co powoduje ogromne
zagęszczenie informacji jakie przekazywane są administratorowi systemu.
Nie można tak że zidentyfikować
oraz sklasyfikować ataków DoS oraz
wszelkich prób włamań jakie miały
miejsce wobec naszej sieci. Nie jest
dostępna również historia zdarzeń,
która w wielu wypadkach stanowi
istotny argument.
Rys. 4. Dashboard narzędzia CMX Analytics zawierający dane statystyczne, uprzednio
zdefiniowane przez administratora
czyli takich które nie spełniają wcześniej zdefiniowanych polityk, a także
definiowanie nowych polityk mających na celu podjęcie akcji w stosunku
do wykrytego zagrożenia, jesteśmy
w stanie w widoczny sposób zwiększyć poziom bezpieczeństwa naszej
sieci. wIPS jest narzędziem, które
zapewnia pełny ogląd naszej sieci.
S y s t e m wIP S t o wbu d ow a n a
funkcjonalność access pointów serii
700, 1700, 2700 oraz 3700, a działanie
tego systemu można zdefiniować już
na poziomie kontrolera (rysunek 4).
Zatem wydawać by się mogło, że MSE
nie jest konieczne do uruchomienia
tej usługi. Jednak rozwiązanie oparte
tylko i wyłącznie na access pointach
oraz kontrolerze, pomijające MSE nie
oddaje pełnej architektury systemu.
Cisco CleanAir® – technologia
powiązana z MSE
Przedstawiając rozwiązanie MSE
należy wspomnieć o innej technologii, która jest ściśle powiązana
z Mobility Services Engine i jest rozszerzeniem funkcjonalności Base Location
Services. CleanAir jest to narzędzie
zaimplementowane do access pointów
serii 1700, 2700, 3700. Jego podstawowym zadaniem jest wykrywanie,
lokalizowanie oraz zapobieganie lub
łagodzenie skutków interferencji
fal radiowych, które niekorzystnie
Rys. 5. Aktywacja funkcji wIPS odbywa się na kontrolerze, gdzie w zakładce General należy wybrać tryb pracy w jakim będzie
pracował access point
11
NOWOŚCI
Rys. 6. Technologia CleanAir potrafi w bardzo dokładny sposób określić źródło interferencji oraz zakres ingerencji
wpływają na jakość działania naszej
sieci Wi-Fi. Do takich fal zalicza
się między innymi te pochodzące
z mikrofalówek, urządzeń bluetooth,
telefonów komórkowych, wszelkiego
rodzaju zagłuszaczy fal radiowych,
detektorów ruchu oraz kamer bezprzewodowych. CleanAir powstał przede
wszystkim z myślą o użytkownikach
mobilnych wykorzystujących sieć
Wi-Fi do połączeń audio-video,
gdzie ważnym czynnikiem jest jakość
połączenia. Interferencja fal radiowych
potrafi w znaczący sposób utrudnić
takie połączenia poprzez zatracanie
pakietów.
na rysunku 7:
• nhanced Local Mode (ELM) – jest to
tryb, w którym access point przez dłuższy
okres czasu spełnia swoją podstawową
funkcjonalność, czyli dostarcza dane do
stacji klienckich, a przez krótki okres
prowadzi skanowanie sieci.
• Monitor Mode (MM) – model
wdrożenia, w którym oprócz access
pointów odpowiedzialnych za serowanie danych istnieją dodatkowe
AP, których zadaniem jest tylko
i wyłącznie monitoring sieci.
• Access point z serii 3700 oraz moduł
WSM (Wireless Security Module) – to
rozwiązanie wykorzystujące fizyczną
nakładkę na access pointa, która
zapewnia ciągłe skanowanie sieci,
w czasie gdy AP dostarcza dane zasocjowanym stacjom klienckim.
Od strony ekonomicznej najbardziej
opłacalnym modelem wdrożenia jest
ELM. Jednak w tym trybie pracy pełna
detekcja wIPS zapewniona jest tylko na
tym kanale, który wykorzystywany jest
do dostarczania danych („on-channel”).
Pozostałe kanały skanowane są
w krótkim okresie czasu („off-channel”),
a zak res tego skanowania jest
niepełny. Oznacza to, że kiedy radio
będzie w trybie „off-channel” i w tym
momencie zostanie przeprowadzony
atak na jeden z pozostałych kanałów
na których radio nie pracuje, to zostanie
on wykryty. Gdyby taki sam atak odbył
się w czasie kiedy radio działa w trybie
„on-channel”, to atak taki nie zostanie
zauważony (rysunek 8).
W pr z ypadku modelu Monit or
Mode rozwiązanie wymaga, aby
do sieci dołączone były dodatkowe
access pointy, które ustawione będą
w tryb monitorujący. Ich zadaniem
jest ciągła analiza sieci pod względem
bezpieczeństwa. W tym wypadku
każdy z kanałów jest skanowany
z większą częstotliwością co wiąże się
z tym, że każdy potencjalny atak wIPS,
Model wdrożenia systemu
wIPS
Cisco przygotowało kilka możliwości
działania systemu wIPS. Podczas
wyboru modelu wdrożenia należy
kierować się kilkoma czynnikami.
Przede wszystkim należy określić
jak ważna jest dla nas sieć bezprzewodowa, którą mamy chronić oraz
jaki jest sposób autentykacji i autoryzacji. Należy również określić w jakich
warunkach i w jakim zagęszczeniu dana
sieć będzie pracować. Nie bez znaczenia
będzie również czynnik ekonomiczny.
P roponowane s ą róż ne modele
wdrożenia, które zostały zestawione
12
Rys. 7. Modele wdrożenia Access Pointów zależny jest od wielu czynników które należy
rozważyć przed wdrożeniem systemu
Numer: IV/2014 (130)
ilości access pointów. Wyróżnione jest narzędziem administracyjnym
zostały także dane dotyczące techno- służącym do zarządzania i monitorologii CleanAir.
wania sieci zarówno przewodowej, jak
i bezprzewodowej opartej na urządzeSchemat wdrożenia
niach Cisco. Dzięki niemu w łatwy
sposób można wykonać upgrade
MSE jest platformą która tworzy systemów, stworzyć kopie zapasowe,
wartość dodaną dla systemu sieci przywrócić konfiguracje oraz monitobezprzewodowej. Myśląc o zaimple- rować stan systemu (Więcej o oprogramentowaniu takiego rozwiązania, mowaniu PI 1.2 można przeczytać
trzeba brać pod uwagę również obliga- w Integratorze nr IV/2012 (121)).
Rys . 8 . C zas dost arc zania danych
w stosunku do czasu skanowania dla
różnych modeli wdrożenia
Enhanced Local
Mode
Monitor Mode AP
Gęstość wdrożenia (#WSM/#AP)
1:1
1:5
Możliwość pracy w dwóch trybach (przesył
danych do klientów oraz tryb monitoringu)
Tak
Nie
Funkcjonalność
AP 3700 z modułem
Wireless Security
(WSM)
1:5 – CleanAir
2:5 – wIPS
Tak
Tryb skanowania wIPS
•7x24 On-channel
•Off-channel
•7x24 wszystkie
•7x24 wszystkie
kanały (2,5 i 5 GHz)
Technologia CleanAir
•7x24 On-channel
•7x24 wszystkie
•7x24 wszystkie
Tabela 1. Modele wdrożenia systemu wIPS oraz technologii CleanAir
niezależnie od tego na jakim kanale
zostanie przeprowadzony, zostanie
wykryty.
Ostatnim proponowanym rozwiązaniem jest wykorzystanie access
pointów z serii 3700 oraz dołączenie
do nich dodatkowych modułów
skanując ych, dzię k i k t ór ym
monitoring systemu wIPS odbywać
się będzie w sposób ciągły, a w tym
samym czasie do klientów będą
dostarczane dane.
W każdym z przypadków należy
również wziąć pod uwagę, że zasięg
spektrum dla trybu wIPS jest większy
niż zasięg działania AP w trybie dostarczania danych. Dlatego proponuje
się różną intensywność wdrożenia.
W tabeli 1 zebrane zostały informacje
dotyczące proponowanych rozwiązań,
które uwzględniają również zakładane
Rys. 9. Schemat wdrożenia platformy Mobility Services Engine
toryjność systemu Prime Infrastructure,
którego GUI wykorzystywane jest
do działania i zarządzania systemem
MSE. Cisco Prime Infrastructure
Dostępność/skalowalność
Rozwią zanie Mobility Ser vices
Engine jest oferowane w dwóch
13
NOWOŚCI
Platforma
Dane techniczne
Skalowalność
Procesor
( 2 ) Q u a d - C o r e In t e l Licencja Base
Nehalem Processor 2.0 Location
GHz, 4-MB cache
2’500 APs – 25 000 Aps
Pamięć
16-GB DDR3 (2 x 8 GB)
2’500 Aps – 12 500 Aps
Dysk
4x146 GB z transferem do Wireless IPS
6Gbps
MSE 3355 Appliance
Licencja CMX
6 ’0 0 0 A Ps (Monitor-Mode lub Enhanced Local
Mode APs)
Maksymalna 25’000
ilość urządzeń
Procesor
4 vCPUs at 2.0 GHz lub Licencja Base
szybszy
Location
200 Aps/ max 5’000
Pamięć
8 GB
Licencja CMX
Nie w spier a na / ma x
25’000
Dysk
250 GB oraz 900 IOPS
Wireless IPS
2’000 Aps/ max 10’000
(Monit or-Mode lub
Enhanced Local Mode
APs)
Maszyna wirtualna
Minimalne wymagania serwera
Maksymalna 25’000 / max 50’000
ilość urządzeń
Tabela 2. Dane techniczne oraz skalowalność rozwiązania MSE
trybach: appliance lub maszyna
wir tualna. W przypadku pier wszego wyboru jest to model 3355 na
którym możemy uruchomić usługę
Base L ocation Services przeznaczoną dla 25 000 access pointów.
Usługa CMX jest możliwa do uruchomienia przy maksimum 12 500 APs,
system wIPS obsługuje do 6000
urządzeń (w dwóch modelach wdrożenia). Maksymalna ilość urządzeń
końcowych to 25 000.
Mobility Services Engine można też
uruchomić jako maszynę wirtualną
na serwerze z 4 procesorami, 8GB
pamięci oraz 250GB dysku. Są to
wartości minimalne, które pozwolą
uruchomić usługę Base Location
dla 2 0 0 A P s , wIP S dla 2 0 0 0
access pointów (w dwóch trybach),
a maksymalna ilość obsługiwanych
urz ądzeń wynosi 2 5 00 0. C M X
w tym wypadku jest nie wspierany.
14
Zwiększając wydajnoś ć serwera
moż na ur uchomić us ł ugę Base
Location dla maksymalnie 5000 APs,
CMX dla 25 000, a wIPS dla 10 000
access pointów. Maksymalna ilość
obsługiwanych urządzeń to 50 000.
Dane techniczne oraz skalowalność
rozwiązań zebrane zostały w tabeli 2.
Podsumowanie
Wydawać by się mogło, że o standardzie IEEE 802.11 zostało już wszystko
napisane, a wdrożenie technologii
Wi-Fi jest jedną z najprostszych rzeczy
do wykonania przez administratora
systemu. Jednak jak zauważa Cisco
oraz osoby bezpośrednio zajmujące się
systemami bezprzewodowymi, rozwiązania te nabierają nowego znaczenia
i będą rozwijać się dwutorowo.
Z jednej strony będzie to rozwój
prędkości bezprzewodowego łącza,
a z drugiej rozwój usług biznesowych
jakie mogą być świadczone za pośrednictwem standardu Wi-Fi. Nie bez
znaczenia pozostanie również kwestia
bezpieczeństwa, związana z dostępem
bezprzewodowym.
Mobility Services Engine jest odpowiedzią na powstające wyzwania
oraz problemy administratorów sieci
bezprzewodowych, a także osób odpowiedzialnych za rozwój biznesu.
M.K.
Numer: IV/2014 (130)
Cisco ISE – „ISE + MDM – ciekawa
kooperacja”
Na fali zjawiska BYOD (Bring You Own Device) pojawiła się nowa przestrzeń
„mobilności”, która niesie za sobą potencjalne ryzyko powstania luk
bezpieczeństwa w organizacji. Zjawisko mobilności nabrało nowego wymiaru
w sferze swobody w działaniu. Dziś każdy może pracować na kilku urządzeniach,
nawet jednocześnie, wykorzystując do tego swoją infrastrukturę IT.
Zabezpieczenia środowiska IT od
wewnątrz jest realizowane rozwiązaniem typu NAC (Network Access
Control), niezależnie czy dotyczy to
płaszczyzny przewodowej LAN czy
też bezprzewodowej. W tej dziedzinie
Cisco Systems oferuje rozwiązanie Cisco
Identity Service Engine (ISE), które na
przestrzeni ostatnich lat zanotowało
ogromne postępy funkcjonalne. Cisco
ISE jest systemem zabezpieczającym
działania użytkowników „wewnątrz”
LAN na poziomie sieciowym (L2 i L3
w modelu ISO/OSI), niezależne od
tego, czy odbywają się one w części
przewodowej czy też bezprzewodowej.
Cisco Identity Service Engine
1.2
Wraz z wersją 1.2.0 Cisco Identity
Service Engine pojawiło się wsparcie
dla sys t e mów Mobile D e vic e
Management (MDM). Od tej wersji
Cisco ISE posiada możliwość kooperacji z rozwiązaniami tej klasy poprzez
odpowiednią ich wspólną integrację.
Obecnie na rynku IT rozwiązań klasy
MDM jest sporo, a Cisco postawiło na
kilku z nich, takich jak:
• Airwatch, Inc.
• Good Technology
• MobileIron, Inc.
• Zenprise, Inc. (Citrix XenMobile)
• SAP Afaria
• FiberLink Maas360
• Cisco Mobile Collaboration Management Services (MCMS).
System Cisco ISE w swoim założeniu
ma stanowić jednolity system bezpieczeństwa, który musi działać w jak
najszerszym spectrum świata IT. Architektura Cisco ISE jest na tyle elastyczna,
że w razie potrzeby jest w stanie
współpracować z zewnętrznymi
systemami w celu kompletnego
objęcia funkcjonalnościami bezpieczeństwa jak najwięcej elementów
sieci. Tymi obszarami nie są już tylko
sieci przewodowe ale i kompletne
środowiska sieci bezprzewodowych,
w których coraz większy udział mają
urządzenia mobilne (takie jak telefony,
smartfony, tablety, itp.). Na podwalinach tego trendu po raz pierwszy
pojawiło się zjawisko Bring Your Own
Device (BYOD).
BYOD to sytuacja, w których pracownik
do codziennej pracy wykorzystuje
własne urządzenia mobilne. Analizując obecne trendy IT zjawisko BYOD
staje się coraz częstsze, tworząc kolejny
obszar do ścisłego monitorowania
i zabezpieczania przez służby związane
z zapewnienie bezpieczeństwa informatycznego firmy. Jednym z narzędzi
15
NOWOŚCI
Paczka Licencyjna ISE
Zawartość/Przeznaczenie
Czas trwania/
Subskrypcja
Uwagi
BASE
Bezpieczny dostęp
PLUS
Budowanie polityk dostępu Subskrypcje 1,3,5 letnie
do zasobów sieciowych na
podstawie kontekstów na
urządzeniach końcowych
•Profiling
•BYOD
•TrustSec
•Endpoint Protection Service (EPS)
ADVANCED
Budowanie polityk dostępu Subskrypcje 1,3,5 letnie
do zasobów sieciowych
na podstawie kontekstów
oraz parametrów typu
compliance na urządzeniach
końcowych
•• Profiling
•BYOD
•TrustSec
•Posture
•EPS
•MDM
WIRELESS
Kompletne usługi ISE
tylko dla środowiska
bezprzewodowego
WIRELESS UPGRADE
Dedykowane w chwili
Subskrypcje 1,3,5 letnie kiedy uruchamiane są
usługi VPN na użytkownikach przewodowych
wykorzystywane w sieciach
bezprzewodowych
EVALUATION
Wykorzystywana do celów
testowych
Bezterminowa
•BASIC RADIUS (AAA, 802.1x,
MAC Auth. Bypass)
•Web Authentication (Local,
Central, Device Registration)
•MacSec
•Guest Portal and Sponsor Portal
Subskrypcje 1,3,5 letnie •BASIC RADIUS (AAA, 802.1x,
MAC Auth. Bypass)
•Web Authentication (Local,
Central, Device Registration)
•MacSec
•Guest Portal and Sponsor
Portal
•Profiling
•BYOD
•TrustSec
•Posture
•EPS
•MDM
90 dni
Wszystkie funkcjonalności dla środowiska do 100
użytkowników
Tabela 1. Licencje ISE
ułatwiających tę pracę jest właśnie
system MDM.
Warto zaznaczyć, iż wraz z wersją ISE
1.2.1 pojawiła się nowa licencja – Plus.
Tabela 1 prezentuje obecnie dostępne
licencjonowanie produktu wraz z ich
krótkim opisem.
Czym jest MDM?
Najczę ściej MDM stanowi tylko
część rozwiązania zabezpieczającego
urządzenia mobilne.
16
Moduł ten dedykowany jest do
zabezpiec zenia szc zególnie urządzeń mobilnych. Zazwyczaj jest on
uzupełnieniem innych modułów
odpowiadających za bezpiec zny
kontent (MCM) oraz za bezpieczne
udostępnienia aplikacji pomiędzy
urządzeniami mobilnymi (MAM).
Funkcjonalności wszystkich modułów są natomiast sterowane przez
centralną konsolę zarz ądzając ą .
Odpowiednia dystrybucja polityk
bezpieczeństwa zapewniana jest
poprzez aplikacje (agenty) instalowane na urządzeniach mobilnych.
Z alet ą systemu MDM jest jego
wszechstronnoś ć pod względem
dostępności na urządzeniach mobilnych. Praktycznie każdy mobilny
system operacyjny może być obsługiwany z ar z ąd z any z poz iomu
MDMu. Najbardziej rozpowszechnione systemy operacyjne – takie jak
np.: Apple iOS czy Android – są praktycznie w pełni kompatybilne.
Niek t ór z y produc enc i MDM
Numer: IV/2014 (130)
Rys. 1. Ogólny schemat systemu MDM
dostosowali je także do innych, takich
jak: Blackberry OS, Win8 oraz Apple
Moutain Lion software (OSX 10.8).
MDM firmy AirWatch
MDM w rozwiązaniu firmy AirWatch
jest komponentem odpowiadającym
konkretnie za elementy bezpie c zeństwa ur z ądzeń końcowych
(urządzeń mobilnych). Wchodzi on
w skład całego systemu AirWatch
Enterprise Mobility Management
Platform, dzięki któremu możliwe
jest administrowanie, monitoring oraz
raportowanie. Oprócz MDM warto
wyodrębnić również moduły:
• MCM – odpowiada za bezpieczne
świadczenie kontentu na urządzeniach
mobilnych,
• MAM – odpowiada za bezpieczne
udostępnianie aplikacji w korporacji
poprzez urządzenia mobilne,
• MEM – odpowiada za bezpieczeństwo kanału komunikacyjnego
– poczty elektronicznej, która bardzo
często stosowana jest w urządzeniach mobilnych.
Najważniejszymi cechami modułu
MDM są:
• pojedyncza konsola zarządzająca,
• polityki bezpieczeństwa, które
stanowią strukturę profili (polityki
dostępu do zasobów korporacyjnych),
Rys. 2. Przykładowy zestaw funkcjonalności MDMu
• polityki bezpieczeństwa budowane
w oparciu o przypisanie urządzeń do
użytkownika lub grupy (odpowiedni
poziom bezpieczeństwa i dostępu),
• działanie w czasie rzeczywistym,
• mechanizmy kwarantanny,
• sterowanie urządzeniami mobilnymi za pomoc ą odpowiednich
komend i wiadomości,
• zaawansowane logowanie i raportowanie.
Integracja Cisco ISE i MDM
Proces integracji Cisco ISE z systemem
MDM składa się z trzech etapów:
przygotowania środowiska (przy
minimalnych wymaganiach
systemowo/sprzętowych), dodania
serwera MDM do bazy ISE oraz
konfiguracji polityk bezpieczeństwa
(ISE).
Etap 1 – Przygotowanie środowiska
Zgodnie z pierwszym krokiem bardzo
ważne jest przygotowanie środowiska
do integracji obydwóch systemów.
Pierwszy obszar dotyc zy c zę ści
bezprzewodowej, na który składają
się następujące elementy:
• Kontroler sieci bezprzewodowej
(5508, 2504, WLSM-2),
• Punkty dostępu (AP) – CAPWAP.
W przypadku kontrolerów istotnym jest
fakt doboru odpowiedniego systemu
operacyjnego AirOS, – minimum
w wersji 7. 2 . Cisco rekomenduje
wykorzystanie wersji 7.6.100, która
wprowadza do WLC mechanizm
Pre-Auth DNS-based ACL. Mechanizm
17
NOWOŚCI
ten wykorzystywany jest w przypadku
BYOD w korporacji w sytuacji, kiedy
administrator IT stosuje specjalną listę
ACL (na etapie Pre-Auth) umożliwiającą
dostęp do zasobów jeszcze przed
uwierzytelnieniem. Często przypadek
taki ma miejsce kiedy użytkownik
potrzebuje dostępu do Internetu lub
do specjalnej usługi umożliwiającej
ściągnięcie suplikanta 802.1x. Listy
kontroli typu DNS-based nie wykorzystują parametrów stosowanych
w zwyczajnych listach ACL IPv4
(w sytuacji standardowego przekierowania poprzez WLC URL redirection).
Drugi obszar dotyczy czę ści ISE,
Rys. 3. Ogólny schemat działania ISE + MDM
Rys. 4. Zrzut ekranu WebGUI WLC – Sekcja ACL (edycja ACL-MDM-QUARANTINE-IOS)
Rys . 5 . Z rzut ekranu WebGUI W LC – Sekcja ACL (przypisanie UR L dla ACL -MDM- QU A R A N T INE-IOS oraz
ACL-MDM-QUARANTINE-ANDROID)
18
Numer: IV/2014 (130)
na który składają się następujące
elementy:
• Cisco ISE wersja 1.2 (z patchem 5 lub
późniejszym);
• Baza danych użytkowników (lub
urząd certyfikacyjny CA – Windows
2008 R2 Enterprise SP2).
Oprócz odpowiednej wersji ISE bardzo
ważne jest, aby w docelowym środowisku poprawnie skonfigurowane
były mechanizmy/usługi:
• Dostęp Proxy-based Internet (np.:
na potrzeby ciągłych aktualizacji
sygnatur);
• Usługa Web Multi-Interface;
• Przekierowania IP based-URL,
• Zapytania FQDN(certyfikaty CA).
Ostatni obszar dotyczy części MDM,
na który składają się następujące
elementy:
• System MDM (wersja systemu
uzale ż niona od zastosowanego
producenta).
Rys. 6. Przykładowe systemy MDM wraz z rekomendowanymi wersjami.
Etap 2 – Dodanie serwera MDM do
bazy ISE
Na tym etapie istotne są:
• Sprawdzenie komunikacji pomiędzy
ISE a MDM;
• Ustawienie odpowiedniego schematu certyfikatów CA;
• Dodanie serwera MDM do ISE;
• Aktualizacja dziennika słowników.
Sprawdzenie komunikacji polega na
weryfikacji poprawności wymiany
danych pomiędzy dwoma interfejsami
API. W przypadku Cisco ISE jest to
interfejs REST API a po stronie MDM
interfejs MDM API wbudowany
w serwer zarządzający. Komunikacja
pomiędzy interfejsami odbywa się za
pomocą języka XML.
Dodanie ser wera MDM do ISE
poprzedzone jest zaimportowaniem
certyfikatu zaufania CA przez funkcję
Import (Administration – > System –
> Certificates – > Certificate Store – >
Import).
Rys. 8. Widok WebGUI ISE (Import certyfikatu zaufania CA)
Rys. 7. Struktura komunikatu XML
Rys. 9. Widok WebGUI ISE (ustawienie Network Resources – dodanie serwera MDM)
19
NOWOŚCI
Rys. 10. Widok WebGUI ISE (przegląd słownika pojęć)
Rys. 11. Widok WebGUI ISE (kreowanie polityk uwierzytelnienia)
Dodanie ser wera MDM do ISE
poprzedzone jest zdefiniowaniem
t akich parametrów jak : Nazwa,
Host name , Por t , User Name ,
Password, Polling Interal.
Zwieńczeniem tego etapu jest weryfikacja słownika pojęć, na bazie których
w etapie trzecim budowane będą
polityki bezpieczeństwa. Proces ten
wykonuje się z poziomu ISE WebGUI
(zakładka Policy – > Policy Elements
– > Dicionaries – > System – > MDM).
Etap 3 – Konfiguracja polityk bezpieczeństwa (ISE)
Os t at ni et ap dotyc z y konf ig u racji polityk oraz profili uwierzytelnienia oraz autoryzacji. Proces
ten realizowany jest z poziomu ISE
w odpowiednich zakładkach:
• P o l i c y – > A u t h e n t i c a t i o n
(kreowanie polityk uwierzytelnienia)
– rysunek 11;
• Policy – > Policy Elements – >
Results; Authorization – > Authorization Profiles (kreowanie profili autoryzacyjnych) – rysunek 12;
• Policy – > Authorization (MDM
Attributes) – rysunek 13.
Podsumowanie
Rys. 12. Widok WebGUI ISE (kreowanie profili autoryzacyjnych)
Cisco ISE po raz kolejny ukazuje się jako
kompletna platforma bezpieczeństwa
działająca na poziomie sieciowym.
Technologia BYOD nie stanowią tak
dużego zagrożenia dla korporacji jak
mogłoby się na początku wydawać.
Dzięki wykorzystaniu zaimplementowanych funkcjonalności bezpieczeństwa w urządzeniach sieciowych
takich jak przełączniki, routery czy
kontrolery sieci bezprzewodowej,
koszt tego systemu ma uzasadnienie
biznesowo-techniczne.
J.S.
Rys. 13. Widok WebGUI ISE (kreowanie polityk autoryzacyjnych MDM)
20
Numer: IV/2014 (130)
Bądź zgodny – Check Point Compliance
Konfiguracja systemów bezpieczeństwa w organizacji ma charakter dynamiczny.
Nieustanne zmiany zbioru reguł są efektem rosnących wymagań ze strony biznesu
oraz użytkowników. W efekcie częstych modyfikacji konfiguracji systemów
zabezpieczeń bardzo trudna staje się bieżąca weryfikacja poprawności oraz
zgodności wykorzystywanej konfiguracji z przyjętymi w organizacji zasadami
oraz standardami. Nakład pracy wynikający z dynamiki zmian niejednokrotnie
uniemożliwia wykonanie pełnej weryfikacji wpływu zmian na środowisko przed
ich implementacją. Firma Check Point, wychodząc naprzeciw potrzebom rynku,
udostępnia swoim Klientom moduł wspomagający proces konfiguracji o nazwie
Compliance.
Moduł Compliance stanowi rozszerzenie doskonale znanej na rynku
architektury Check Point Software
Blade o funkcje umożliwiające ciągłe
monitorowanie ust awień dotyczących serwerów zarządzania, bram
sieciowych oraz konfiguracji działających na nich modułów bezpiec z e ń s t wa . Mo du ł C omplia nc e
uruchamiany jest na serwerze zarządzania (Smart Management Server lub
Multi-Domain Management) dzięki
czemu posiada wgląd we wszystkie
aspekty konfiguracji środowiska Check
Point. Co więcej, centralne umiejscowienie modułu pozwala na weryfikację
konfiguracji modułów bezpieczeństwa wynikiem długoletnich doświadczeń
na etapie wprowadzania zmian, bez pr oduc ent a . L ist a z alec e ń jest
potrzeby implementowania jej na nieustannie rozwijana przez produbramach sieciowych. Zadania związane cent a i udost ępniana K lientom
z zarządzaniem oraz monitorowaniem w formie automatycznych aktualizacji.
pracy modułu Compliance realizowane Co więcej, od wersji oprogramowania
są analogicznie jak dla pozostałych R77.20 istnieje możliwość własnomodułów Check Point, z poziomu ręcznego tworzenia reguł przez admininarzędzia SmartDashboard (rysunek 1). stratorów w przypadku specyficznych
Sercem modułu Compliance jest wymagań stawianych w obrębie orgabogaty zbiór zaleceń określający nizacji. Check Point definiuje oraz
rekomendowany sposób konfiguracji udostępnia zalecenia dotyczące konfiproduktów firmy Check Point, tzw. guracji dla następujących modułów
security best practices (rysunek 2). Zbiór bezpieczeństwa – Firewall, IPSec VPN,
zaleceń jest efektem pracy ekspertów Mobile Access, IPS, Anti-Bot, Antiz zakresu bezpieczeństwa, a także -Virus, Anti-Spam & Email Security,
21
TECHNOLOGIE
Rys. 1. SmartDashboard – ekran konfiguracji modułu Compliance
Rys. 2. Check Point security best practices
Identity Awareness, Application
Control, URL Filtering and DLP.
Celem tworzonych rekomendacji
jest zapewnienie Klientom pomocy
w zakresie optymalnej, zarówno pod
22
względem wydajności jak i poziomu
bezpieczeństwa, konfiguracji wykorzystywanych przez nich produktów.
Dla każdego z zaleceń wchodzących
w skład listy security best practices¸
producent definiuje zestaw rekomendacji oraz akcji. Zestawy rekomendacji i akcji wspomagają proces
konfiguracji oraz pozwalają administratorom zrozumieć poszczególne
Numer: IV/2014 (130)
kroki, które powinni zrealizować aby
osiągnąć wysoki poziom zgodności
oraz bezpieczeństwa środowiska przez
nich zarządzanego.
Drugim z kluczowych elementów
modułu Compliance jest możliwość
automatycznego weryfikowania
zgodności konfiguracji środowiska
z ogólnodostępnymi standardami oraz
regulacjami (Regulatory Compliance).
W najnowszej wersji oprogramowania – Check Point R77.20 – administratorzy mogą stworzyć konfigurację
swojego środowiska z wymaganiami
stawianymi w ramach 18 standardów
oraz regulacji, m. in. ISO2 7001,
ISO27002, HIPAA Security, PCI DSS
2.0 oraz SOX (rysunek 3). Poza predefiniowanymi standardami Klienci mają
możliwość rozszerzenia możliwości
modułu poprzez dostępny mechanizm
impor tu zewnętrznych regulacji.
W celu ułatwienia pracy administratorom oraz osobom odpowiedzialnym
za kreowanie polityki bezpieczeństwa
poszczególne wymagania wchodzące
w skład standardów oraz regulacji
zdefiniowane zostały przez firmę
Check Point w postaci szeregu prostych
zadań bazujących na zbiorze security
best prac tices. Wykonanie tych
zadań implikuje spełnienie warunku
opisanego w ramach standardu,
a jednocześnie pozwala zachować
większą przejrzystość oraz większe
zrozumienie konfiguracji.
Moduł Compliance na bazie ciągłego
monitorowania ustawień środowiska
Check Point oraz konfiguracji polityk
bezpieczeństwa wyznacza procentowe
wskaźniki zgodności z wytycznymi
zawartymi w grupie security best
practices (rysunek 4) oraz w wybranych
standardach i regulacjach (rysunek 5).
Administrator poza ogólnym wskaźnikiem zgodności dla całego środowiska – Sec ur ity Best P rac tice
Compliance – otrzymuje także informacje o poziomie zgodności w podziale
na poszczególne bramy sieciowe oraz
moduły bezpieczeństwa (rysunek 6).
Prezentowane wartości wyliczane są
Rys. 3. Definicja wymagań na potrzeby zgodności ze standardem PCI DSS 2.0
Rys. 4. Poziom zgodności środowiska z Check Point security best practices
Rys. 5. Poziom zgodności środowiska z wybranymi standardami
Rys. 6. Poziom zgodności środowiska z Check Point security best practices w podziale
na bramy sieciowe i moduły bezpieczeństwa
23
TECHNOLOGIE
na podstawie wartości numerycznych
przypisanych do poszczególnych
reguł zdefiniowanych w ramach
Check Point security best practices.
W większości przypadków, wartość
dla poszczególnych reguł jest liczona
jako średnia ze wszystkich weryfikowanych obiektów np. bram sieciowych
wykorzystujących określony moduł
bezpieczeństwa. W zależności od
wyliczonej wartości reguła klasyfikowana jest w jednej z czterech
kategorii zgodności: Low, Medium,
High oraz Secure. Szczegóły dotyczące
przedziałów wartości dla poszczególnych kategorii zaprezentowane
zostały w tabeli 1.
lub Multi-Domain Management .
Licencje modułu Compliance stanowią
r oz s zer zenie kont ener ów t ypu
Management i występują postaci
zestawów umożliwiających weryfikację konfiguracji odpowiednio na 5,
25, 50, 150 oraz niegraniczonej liczbie
bram sieciowych. W zależności od
Rys. 7. Alert wygenerowany przez moduł
liczby monitorowanych obiektów
Compliance
licencje modułu Compliance można
wszystkich wskaźników poziomu sumować. Na przykład gdy potrzezgodności. W przypadku kiedy zmiana bujemy licencji na 10 bram sieciowych
powoduje redukcję poziomu bezpie- to istnieje możliwość zakupu dwóch
czeństwa np. obniża poziom wskaźnika licencji po 5 urządzeń bez konieczności
Security Best Practice Compliance wykonywania skoku do najbliższego
system generuje alert (Security Alerts) progu czyli licencji na 25 urządzeń.
(rysunek 7) informujący administratora Dodatkowo, liczba licencji na moduł
o niekorzystnym wpływie planowanej Compliance nie musi odpowiadać co
Kategoria
Wartość
zmiany. Alerty zawierają szczegółowe do liczby urządzeń licencji na serwerze
Low
0-50
informacje dotyczące negatywnego zarządzania, która określa maksyMedium
51-75
wpływu zmian, zakresu ich działania malna liczbę bram sieciowych, które
High
76-99
wraz z informacją o autorze oraz dacie mogą być zarządzane z danego serwera.
Secure
100
wprowadzenia zmiany.
Wdrożenie moduł u Compliance
Moduł Compliance wyposażony jest w organizacji nie generuje dużego
Tabela 1. Kategorie poziomu zgodności reguł
we wbudowany system rapor to- narzutu wydajnościowego, a co za tym
idzie nie wymaga rozbudowy zasobów
sprzętowych. Dzięki wbudowanej
automatyzacji w znaczący sposób
odciąża czasowo administratorów oraz
osoby odpowiedzialne za kreowanie
Moduł Compliance stanowi rozszerzenie doskonale znanej
polityki zabezpieczeń. Zaoszczędzony
na rynku architektury Check Point Software Blade o funkcje
w ten czas może być poświęcony na
umożliwiające ciągłe monitorowanie ustawień dotyczących
realizację innych ważnych zadań.
serwerów zarządzania, bram sieciowych oraz konfiguracji
działających na nich modułów bezpieczeństwa.
Opracowano na podstawie oficjalnych
materiałów producenta.
M.I.
W przypadku reguł o charakterze
binarnym – tzn. zgodny lub nie – zbiór
możliwych kategorii ograniczony jest
do wartości Low oraz Secure, które
odpowiadają odpowiednio wartościom 0 oraz 100.
Każdorazowa edycja ustawień środowiska dotyczących zdefiniowanych
obiektów oraz reguł bezpieczeństwa
powoduje wykonanie ponownej
analizy konfiguracji przez moduł
Compliance. W efekcie każdej analizy
następuje aktualizacja war tości
24
wania. System pozwala na generowanie raportów dotyczących ogólnego
poziomu zgodności środowiska, a także
raportów dotyczących zgodności
z poszczególnymi standardami oraz
regulacjami. Rapor ty mogą być
zapisywane w formacie pdf, html
a także dystrybuowane za pomocą
poczty elektronicznej.
Moduł Compliance licencjonowany
jest w zależności od liczby bram
sieciowych zarządzanych z poziomu
serwera Smart Management Server
Numer: IV/2014 (130)
F5 WebSafe & MobileSafe
Wobec rosnącego zakresu oszustw przeprowadzanych online wymogiem
dzisiejszego rynku stało się bezpieczeństwo przedsiębiorstw oraz klientów.
Oprogramowanie WebSafe pomaga instytucjom usług finansowych chronić
się przeciwko wyrafinowanym zagrożeniom nadużyć finansowych. Jest to
możliwe dzięki wykorzystaniu zaawansowanego szyfrowania, wykrywaniu
malware’u bez konieczności instalowania oprogramowania po stronie klienta
oraz możliwości przeprowadzenia analizy behawioralnej sesji, a wszystko to
przy użyciu jednego rozwiązania. Przedsiębiorstwa używając WebSafe w sposób
znaczący obniżyły straty powstałe przez nadużycia finansowe, zachowując przy
tym najważniejszy atut w biznesie – zaufanie klientów.
Usługi online pozwalają przedsiębiorstwom zaistnieć globalnie i w łatwy
sposób dotrzeć do użytkowników,
gdziekolwiek by się oni nie znajdowali.
Klienci liczą, że zostanie im zapewniona
integralność danych na platformie
e-commerce, a na stronach internetowych ochrona przed szkodliwymi
działaniami i innymi oszustwami.
Rozwiązanie WebSafe™ w połączeniu
z MobileSafe™ chroni w pe ł ni
bankowość, e-sprzedawców oraz inne
organizacje – wraz z ich klientami –
przed szerokim zakresem fałszerstw
internetowych na wszystkich typach
urządzeń dostępowych, nie wpływając
przy tym na użytkownika. WebSafe
pomaga przedsiębiorstwom rozpoznawać i chronić się przed złośliwym
oprogramowaniem bazującym na
stronach web, a także oszustwom
internetowym skierowanym na
aplikacje. MobileSafe oferuje ochronę
przeciwko zaawansowanym zagrożeniom internetowym skierowanym
na użytkowników mobilnych. Razem
oprogramowania te dają przedsiębiorstwom zdolność dostarczenia
lepszej ochrony przeciw oszustwom
internetowym, a także możliwość
podejmowania bardziej świadomych
decyzji w zakresie bezpieczeństwa.
WebSafe
WebSafe pomaga administratorom
s t r on webowyc h r oz poz nawa ć
i chronić się przed skierowanymi na
nich złośliwymi oprogramowaniami,
atakami MITB, MITM, zagrożeniami
typu zero-day, atakami phishingowymi, a także innym nieuczciwym
działaniami internetowymi. WebSafe
stosuje różnorodne techniki identyfikacji by rozpoznawać oszustwa
25
TECHNOLOGIE
internetowe, usiłowanie automatycznych przelewów oraz inne wzorce
szkodliwych oprogramowań.
WebSafe jest prosty do wdrożenia,
a zarazem całkowicie transparentny
dla użytkownika. Jednocześnie nie
wymaga żadnych zmian w aplikacjach
ani instalacji dodatkowego oprogramowania po stronie klienta. Używając
WebSafe przedsiębiorstwo zyskuje
zaawansowaną ochronę w czasie
rzeczywistym przeciwko kradzieży
tożsamości, własności intelektualnych,
wrażliwych danych, a także pieniędzy.
MobileSafe
MobileSafe jest produktem, który
integruje się natywnie z aplikacjami
mobilnymi w celu ochrony przez
atakami skierowanymi na użytkowników urządzeń mobilnych. Jest to
szczególnie istotne w bankowości internetowej oraz platformach e-sprzedażowych. Ta unikalna usługa wykrywa
złośliwe oprogramowania, a także
urządzenia na których był przeprowadzony jailbreak i chroni je przeciwko
wszelkiego rodzaju keyloggerom oraz
fałszywymi aplikacjami. Jednocześnie
zapewnia, że przechwycone przez
złośliwe oprogramowanie informacje
staną się bezużyteczne dla atakującego.
Rys. 1. WebSafe - ochrona użytkownika końcowego
Ochrona przed
internetowymi oszustwami
WebSafe i MobileSafe dostarcza
t r anspar ent ne r oz wią z anie do
zabezpieczenia biznesu przeciwko
osz ustwom int er net owym . Ich
wspólnymi cechami jest ochrona
danych użytkownika, zmniejszenie
Rys. 2. MobileSafe - ochrona użytkownika końcowego
ewentualnych strat na wypadek ataku
oraz wzmocnienie poziomu bezpie- zagrożeń, które umożliwiają przedsię- próby automatycznych przelewów.
czeństwa przy jednoczesnym zapew- biorstwu rozpoznać zainfekowanych MobileSafe pozwala weryfikować
nieniu bezproblemowej obsługi.
użytkowników, a także znajdować certyfikaty SSL, wykrywać złośliwe
wys z uk ane wzor c e z ł o ś liwego oprogramowanie MITM (man-in-theWykrywanie nadużyć i złośliwego oprogramowania włączając w to -middle) oraz rozpoznawać modyfioprogramowania – WebSafe stosuje MITB (man-in-the-browser), wstrzy- kacje aplikacji mobilnych. Rozwiązania
zaawansowane techniki identyfikacji kiwanie złośliwych skryptów oraz t e pomagają pr zedsię bior s twu
26
Numer: IV/2014 (130)
zrozumieć pełny zakres zagrożeń oraz
zagwarantować ochronę przeciw nim.
Z aawansowane wyk r ywanie
phising u – WebS afe zapewnia
zaawansowane możliwości wykrywania oraz przeciwdziałania phishingu,
które pomagają przedsiębiorstwom
zidentyfikować atak już zanim wiadomości zostaną masowo rozesłane.
WebSafe wykrywa i ostrzega kiedy
strona webowa zostanie załadowana
do fałszywej domeny. Dodatkowo
WebSafe stara się zidentyfikować
napa s t nik a d z i ę k i spe c jalnym
raportom z ważnymi informacjami
na temat ataku, które są wysyłane do
przedsiębiorstwa.
Szyfrowanie na poziomie aplikacji
– Zaawansowane szyfrowanie na
poziomie aplikacji chroni wszystkie
poufne informacje przesyłane przez
użytkowników do przedsiębiorstwa,
czyniąc je bezużytecznymi dla atakującego, który mógłby je przechwycić.
Szyfrowanie chroni również dane
do logowania w momencie kiedy te
używane są przez przeglądarkę lub
aplikację mobilną jeszcze przed zaszyfrowaniem ich przez SSL.
Ochrona transakc ji – WebSafe
wykonuje szereg kontroli transakcji,
włączając w to kontrolę iFrame,
analizę behawioralną, a także podpis
przeciwdziałać oszustwom internetowym bez modyfikowania aplikacji,
czy instalacji specjalistycznego oprogramowania po stronie klienta. Rozwiązanie to pozwala zapewnić ochronę bez
Wykrywanie urządzeń zrootowanych zmian w przyzwyczajeniach użytkow– MobileSafe stosuje różne kontrole ników lub wprowadzania skomplikow celu identyfikacji problemów wanego kodu do aplikacji, zapewnia
związanych z bezpieczeństwem – pełną transparentność i większą
takich jak nieaktualny system opera- skuteczność podczas wdrażania.
cyjny lub oznaki wskazujące, że jakaś
aplikacja została zmodyfikowana – Security Operations Center – F5
a następnie przypisuje wynik ryzyka s twor z y ł o najnowoc ze ś niejs ze
do urządzenia. Je śli urządzenie Security Operations Center (SOC ),
używa nieoryginalnego systemu które monitoruje globalnie działania
operacyjnego (jest zrootowane lub po atakujących, powiadamia administrajailbreak’u) pozwala użytkownikom torów o zagrożeniach, a także zamyka
w łatwy sposób pobierać oprogramo- phishingowe proxy, aby zminimalizować
wanie z niezidentyfikowanych źródeł, ich wpływ na biznes. Zespół SOC składa
które mogą zawierać złośliwe oprogra- się z doświadczonych badaczy i analimowanie. MobileSafe wykrywa tyków, którzy analizują nowe złośliwe
równie ż transakcje pochodz ące oprogramowania i ataki na całym
z takich urządzeń w celu udaremnienia świecie, aby cały czas być na bieżąco
ataków typu Zeus, Citadel oraz innego z najnowszymi atakami typu malware,
popularnego złośliwego oprogra- zero-day czy phishing. Centrum to służy
mowania, które w łatwy sposób jako poszerzenie zespołu bezpieczeństwa
modyfikuje aplikacje i wykorzystuje w przedsiębiorstwie, utrzymując ich
je do uzyskania od użytkownika administratorów świadomych nowych
jednorazowych haseł (OTP – one-time ataków, które potencjalnie mogą stać
password), przekierowania wiado- się bezpośrednim zagrożeniem dla
mości SMS oraz przechwycenia firmy. Zespół SOC jest odpowiedzialny
za odkrycie nowych zagrożeń takich jak
wprowadzanych informacji.
np. Eurograbber oraz kilku kluczowych
Transparentność dla użytkownika ataków zero-day i ściśle współpracuje
i aplikacji – WebSafe i MobileSafe jako z organami ścigania w kilku krajach, m.in.
jedyne w swoim rodzaju pozwalają w Stanach Zjednoczonych.
i weryfikację funkcji. Dodatkowo
przypisuje ocenę ryzyka do każdej
transakcji w oparciu o prawdopodobieństwo, że może być ona oszustwem.
Rys. 3. Główne zalety oprogramowania WebSafe i MobileSafe
27
TECHNOLOGIE
Płynnie zintegrowane narzędzie
z platformą F5 BIG -IP pozwala
zmniejszyć czas wdrożenia poprzez
wyeliminowanie jak iejkolwiek
potrzeby rozbudowywania aplikacji.
Dzięki temu, każde przedsiębiorstwo –
razem z WebSafe i MobileSafe – może
zacząć chronić wszystkich użytkowników od zagrożeń internetowych
w przeciągu kilku dni zamiast kilku
tygodni. Usługi WebSafe mogą być
w łatwy sposób konfigurowane i zarządzane z interfejsu użytkownika BIG-IP.
Taka integracja pozwala na szybkie
definiowane profili do zwalczania
nadużyć finansowych, wyłączanie
i włączanie usług ochrony, konfigurację serwera powiadomień, a wszystko
to przy u ż yciu dobrze znanego
interfejsu. Jako usługa platformy
BIG-IP, WebSafe pozwala zarządzać
wszystkimi aspektami bezpieczeństwa
i jego nadużyć z wewnątrz zespołu
bezpieczeństwa sieci. Konfiguracja lub
dostrajanie może być przeprowadzane
przez specjalistę z zakresu sieci lub
bezpieczeństwa w czasie godzin pracy
przedsiębiorstwa, także przy użyciu
aktualizacji, które instalują się w ciągu
kilku minut i nie wymagają przestojów
w pracy.
M.K.
Waszych organizacji
www.SOLIDEX.com.pl
28
Numer: IV/2014 (130)
Przegląd rozwiązań firmy Smart
Firma SMART Technologies ULC jest światowym liderem w technologii
tablic multimedialnych, historia firmy sięga 1991 roku, kiedy to inżynierowie
korporacji SMART opracowali i wprowadzili na rynek pierwszą na świecie
tablicę interaktywną. Firma SMART przez ponad 20 lat swego istnienia
dostarcza zintegrowane rozwiązania, które w znaczącym stopniu wpływają
na poprawę i przyspieszenie procesów dydaktycznych i biznesowych. Według
raportu opracowanego przez firmę Futuresource Consulting, a także informacji
udostępnionych przez producenta, tablice interaktywne SMART można
odnaleźć w blisko milionie sal lekcyjnych i konferencyjnych, a każdego dnia
z technologii SMART korzysta ok. 30 milionów aktywnych użytkowników. Oferta
przedsiębiorstwa SMART to nie tylko tablice interaktywne, ale także ekrany
interaktywne, panele i stoliki multimedialne, systemy prezentacji, systemy
zbierania odpowiedzi oraz oprogramowanie do prowadzenia zajęć lekcyjnych
i spotkań konferencyjnych.
Tablice interaktywne SMART
Board serii 800
Rozwiązania serii 800 to wysoce
zaawansowane tablice (rysunek 1),
które zapewniają swoim użytkownikom wielodost ęp do obszar u
roboczego, dzięki czemu możliwa
jest wspólna i jednoczesna praca
na tablicy przez dwie osoby bez
Rys. 1. Tablica SMART Board serii 880
29
TECHNOLOGIE
Rys. 2. SMART Response XE
konieczności przełączania się miedzy
oddzielnymi trybami użytkownika lub
pracą w odseparowanych obszarach.
Tablice prezentowanej serii posiadają
budowę modułową, dzięki czemu
możliwe jest dołączanie dodatkowych
komponentów takich jak interaktywny system zbierania odpowiedzi,
mobilny stojak podłogowy, czy też
system sterowania projektorem
SM A RT. P raca na t ablicy może
się odbywać przy wykorzystaniu
specjalnych pisaków lub poprzez
dotyk palcem. Tablice serii 800 same
rozpoznają użyte narzędzie (pisak,
palec, gumka) do pracy na tablicy
bez konieczności naciskania jakichkolwiek przycisków lub wybierania
odpowiednich ustawień w menu
urządzenia. Powierzchnia tablicy
posiada matową konstrukcję, co
pozwala na komfortową projekcie
obrazu. Tablica nadaje się także do
użycia jako tradycyjna tablica do
wykorzystania z sucho ścieralnymi
markerami i magnesami. Tablice
interaktywne SMART Board serii
800 objęte są dwuletnią gwarancją,
30
Rys. 3. SMART Podium 500
którą można wydłużyć do pięciu lat
po zarejestrowaniu produktu.
i jest kompatybilny z systemami
operacyjnymi Microsoft Windows
i MAC . Odbiornik dołączany jest
do komputera wykładowcy poprzez
Interaktywny system
kabel USB i nie wymaga żadnego
zbierania odpowiedzi
innego dodatkowego źródła zasilania.
SMART Response
Piloty do połączenia z odbiornikiem
Funkcjonalność systemów zbudo- wykorzystują niezawodną i bezpieczną
wanych w oparciu o rozwiązania transmisję radiową.
SMART może zostać rozszerzona
o interaktywny system zbierania Interaktywne panele SMART
odpowiedzi dzięki wykorzystaniu Podium serii 500
narzędzi SMART Response (rysunek 2).
System złożony z bezprzewodowych Praca w salach wyposażonych w tablice
pilotów, odbiornika i wydajnego multimedialne SMART jest możliwa
oprogramowania pozwala „na żywo” nie tylko z poziomu samej tablicy,
zbierać odpowiedzi, przetwarzać czy też z komputera operatora, ale
je i generować interesujące raporty. także poprzez wykorzystanie interakSystem SMART Response XE pomaga tywnego panelu SMART Podium
w utrzymaniu zainteresowania (rysunek 3). Po dołączeniu panelu
i zaangażowania słuchaczy podczas do komputera użytkownik dostaje
wykładów, seminariów poprzez możliwość wyświetlania materiałów
dostarczenie możliwości indywidu- na tablicy z poziomu interaktywnego
alnego udzielania odpowiedzi czy panelu, nanoszenia na nich uwag przy
brania udziału w quizach online.
wykorzystaniu cyfrowego atramentu
System może zostać dostarczony SMART oraz zyskuje możliwoś ć
w zestawach zawierających 24, 32 udostępniania materiałów na innym
lub 40 bezprzewodowych pilotów ekranie w tym samym pomieszczeniu
Numer: IV/2014 (130)
Rys. 4. SMART Notebook
lub w zdalnej lokalizacji. Interaktywny
panel SMART Podium jest idealnym
rozwią zaniem dla prezenterów,
wszystkie materiały przedstawiane
słuchaczom są również wyświetlane
na dużym ekranie bezpośrednio przed
prelegentem bez konieczności odwracania się od uczestników konferencji,
a za pomocą wbudowanych narzędzi
i przewodowego pióra można poruszać
się po materiałach i zarządzać nimi jak
za pomocą tradycyjnego komputera.
Oprogramowanie SMART
Notebook
Rozwiązania SMART to nie tylko
urządzenia fizyczne, ale także bogata
gama aplikacji. SMART Notebook
(rysunek 4), czyli zaawansowane
narzędzie do nauczania grupowego
pozwala na tworzenie interaktywnych
zajęć lekcyjnych, dzięki czemu wpływa
na poprawę efektywności nauczania.
Aplikacja może zostać zintegrowana
z innymi urz ądzeniami interaktywnymi, tworząc zaawansowaną
platformę naukową. Dzięki SMART
Notebook otrzymujemy zestaw unikatowych funkcji do tworzenia własnych
interaktywnych lekcji, a narzędzia
takie jak kolorowe pióra czy przyrządy
geometryczne pozwalają uczniom
na aktywniejszy udział w zajęciach
lekc yjnych . SM A R T Not ebook
pozwala na łatwe zarządzanie całym
materiałem lekcyjnym, poszc zególne strony z etapami zajęć można
w szybki i wygodny sposób eksportować do popularnych formatów
takich jak JPEG, PNG lub GIF. SMART
Netbook pozwala na tworzenie
własnych interaktywnych lekcji, ale
także dostarcza edytowalne szablony
lekcyjne oraz zapewnia dostęp do bazy
on-line SMART Exchange zawierającej
ponad 60 000 gotowych zasobów
edukacyjnych.
Oprogramowanie
konferencyjne Smart Bridgit
wykorzystywana przez użytkowników na ich własnych komputerach, na tablicach interaktywnych
SMART oraz na interaktywnych
panelach. Poprzez integrację tablic
interaktywnych z panelami multimedialnymi, uczestnicy zdalnych
spotkań mogą pracować na jednej
wspólnej stronie oprogramowania
SMART Board tak jakby się znajdowali
w jednym pomieszczeniu i pisali po
jednej tablicy. Rozwiązanie SMART
Bridgit idealnie nadaje się do organizowania zdalnych spotkań firmowych,
uczestnicy spotkania udostępniają
własne pulpity w c zasie rzec zywistym, a każdy uczestnik spotkania
może pisać po współdzielonych
materiałach cyfrowym atramentem
SMART. Bridgit to nie tylko zdalna
praca na współdzielonych materiałach
konferencyjnych, ale także możliwość
przesyłania dźwięku i obrazu, dzięki
czemu można organizować spotkania
„twarzą w twarz” na odległość. Przedstawione oprogramowanie do komunikacji wykorzystuje wielowarstwowe
opcje zabezpieczenia hasłem oraz
szyfrowanie SSL . Obecnie pełna
wer sja oprogramowania Smar t
Bridgit jest kompatybilna z systemami
Microsoft Windows i MAC. Uruchomienie usługi SMART Bridgit może
wymagać instalacji własnego serwera,
ale także istnieje możliwość wykorzystania jednego z serwerów SMART.
Przedstawione w artykule produkty
stanowią tylko część z bogatej gamy
rozwiązań firmy SMART. Dla każdej
z branż, począwszy od edukacji poprzez
biznes kończąc na medycynie, można
skonstruować rozwiązanie spełniające
specyficzne wymagania zamawiającego oparte o technologie SMART.
Artykuł opracowano na podstawie
SMART Bridgit to narzędzie uprasz- informacji udostępnianych przez
czające obsługę konferencji pozwa- producenta.
lające na przekazywanie informacji
P.G.
na odległość. Aplikacja może być
31
ROZWIĄZANIA
Monitorowanie aplikacji w sieci
WLAN za pomocą Cisco AVC
Rozwój sieci bezprzewodowych i coraz bardziej popularny trend BYOD (Bring
Your Own Device) powoduje konieczność monitorowania i śledzenia aplikacji
działających w sieci, jak również dostarczania informacji, które aplikacje i którzy
użytkownicy zużywają najwięcej pasma oraz zapewnienia odpowiednich
priorytetów dla aplikacji biznesowych w sieci przedsiębiorstwa.
Rys.1 Ewolucja aplikacji w przedsiębiorstwie
32
Numer: IV/2014 (130)
Monitorowanie aplikacji
W przeszłości typowy ruch sieciowy
jak HTTP, HTTPS, POP3 oraz IMAP
można było łatwo zidentyfikować
za pomocą dobrze znanych numerów
por tów. Obec nie istnieje coraz
aplikacji takich jak Exchange czy
aplikacje do transmisji głosu i wideo,
dostarczane przez strumień RTP
wykorzystuje dynamiczne porty. To
sprawia, że identyfikacja rodzaju
aplikacji w oparciu o numer portu jest
bardzo utrudniona. Ponadto niektóre
nie jest już wystarczające.
Cisco Application Visibility
and Control (AVC)
Rozwiązanie Cisco AVC dla sieci
bezprzewodowych identyfikuje
ponad 1000 aplikacji biznesowych
oraz klasy konsumenckiej z wykorzystaniem technologii DPI (Deep Packet
Inspection). Ten niezwykły wgląd
w ruch aplikacji pozwala administratorom nadać wyższy priorytet
aplikacjom biznesowym jak telefonia
oraz telekonferencje, natomiast inne
aplikacje niepożądane jak na przykład
peer-to-peer zablokować – czy to ze
względów bezpieczeństwa czy też
w celu zaoszczędzenia pasma w sieci.
Jak działa Cisco AVC ?
Rys.2. Cisco AVC
większa liczba aplikacji zarówno
biznesowych jak również służących
do rozrywki, które są dostarczane
w oparciu o protokół http. Wiele
aplikacje prezentują się jako ruch
HTTP, ponieważ nie chcą być wykryte.
W rezultacie rozpoznawanie aplikacji
poprzez sprawdzanie numeru portu
AVC wykorzystuje kilka technologii
i składa się z czterech elementów
funkcjonalnych.
Rozwiązanie Cisco AVC wykorzystuje
wiele technologii rozpoznawania,
analizowania oraz kontroli aplikacji,
włączając w to głos oraz wideo, pocztę,
Rys. 3. Elementy funkcjonalne Cisco AVC
33
ROZWIĄZANIA
Rys. 4. Prime Infrastructure – Top N Applications
udostępnianie plików, peer-to-peer
(P2P) i aplikacje w chmurze. Cisco AVC
składa się z następujących elementów:
wgrania Protokol Pack, podczas
normalnej pracy routera.
parametry są agregowane i eksportowane przy użyciu formatu NetFlow
w wersji 9 oraz IPFIX.
Narzędzia zarządzania
Dane z AVC mogą być eksportowane do
Cisco Prime Infrastructure z modułem
A ssuranc e . Innym pr z yk ł adem
rozpoznawania, analizowania oraz kontroli aplikacji,
aplikacji współpracującej z AVC jest
włączając w to głos oraz wideo, pocztę, udostępnianie
Cisco Insight, który może zapewnić
plików, peer-to-peer (P2P) i aplikacje w chmurze.
do 30 różnych raportów “widoczności
aplikacji”, aby pomóc nam w planowaniu wydajności i diagnostyce
aplikacji. Istnieje także możliwość
Rozpoznawanie aplikacji (Aplication Z bieranie infor mac ji wydajno - eksportu danych do aplikacji zarządzaściowych i eksport danych (Perfor- jących firm trzecich, co daje Klientom
Recognition)
Za pomocą Cisco AVC kontrolery mance Collection and Exporting)
elastyczność i możliwość wyboru
bezprzewodowe, routery A SR1k Cisco AVC wykorzystuje wbudo- narzędzia do zarządzania.
oraz ISR-G2 mogą zidentyfikować wanego agenta monitorującego do
ponad 1000 aplikacji u ż ywając zbierania parametrów dotyczących Kontrola
technologii DPI nowej generacji, działania aplikacji takich jak czas
nazywanej Network-Based Appli- odpowiedzi aplikacji (Application Dzięki wykorzystaniu wspólnej
cation Recognition 2 (NBAR2). Aby Response Time), opóźnienia, utraty technologii DPI, NBAR2, rutery oraz
zapewnić obsługę nowych aplikacji pakietów oraz parametru jitter dla kontrolery WLC mogą nadawać wyższy
w NB A R 2 , is t nieje mo ż liwo ś ć aplikacji głosowych i wideo. Te priorytet krytycznym aplikacjom lub
Rozwiązanie Cisco AVC wykorzystuje wiele technologii
34
Numer:
(130)
Numer:IV/2014
II/2012 (119)
Podsumowanie
przydzielać
pasmo używając mechanizmów jakości usług QoS.
Lync jest wieloplatformowy, może
działać zarówno na komputerach
Prime
Infrastructure
stacjonarnych
Windowsjako
i Mac OS,
Assurance
Manager
jak i Platformach
Mobile Windows
Phone, iOS (iPad, iPhone), Android.
Podstawowy
nie odbiega
Aplikacja
Primeinterfejs
Infrastructure
może
od wzorcowego okna komunikatora
służyć zarówno do konfiguracji Cisco
internetowego. Rysunek 3 przedstawia
AVC
na urządzeniach
jak
pionowo
zorientowanąsieciowych,
listę kontaktów
również
jako
aplikacja
do
zbierania
ze zdjęciami, obok umieszczono status
danych
z Cisco
AVC.
Aby menu
mieć globalne
i opis, w
górnej
części
podstawowych funkcji.
Wspomniany
pulpit
informacje
o aplikacjach
działających
nawigacyjny
upraszcza
odnajdowanie
w sieci, trzeba przejść do menu Operate
i używanie typowych funkcji, takich
> Performance lub Home > Performance
jak klawiatura numeryczna, wizualna
ipoczta
wybraćgłosowa,
Service Assurance.
lista kontaktów i lista
Na
rysunku
przedstawiony jest dashlet
aktywnych4 konwersacji.
Lync
jest bardzo który
elastyczny,
jeśli
„Top
N Applications”,
prezentuje
15
chodzi o popularnych
wdrożenia aplikacji
i możliwości
najbardziej
w sieci.
integracji. Możliwa jest również
Jednym z głównych wymagań jest
integracja programu z istniejącą
śledzenie
“topnatalkers”,
zarówno
telefoniątzw.
IP, jak
przykład
Cisco.
w
kontekście
klientów jak
i serwerów.
Rysunek
2 przedstawia
przykładową
Operator
może sprawdzić, kto
integracjęsieci
z IP telefonami.
używa określonej aplikacji i kto
Powyższy
artykuł
miał
naprześledzić
celu przedzużywa
dużo
pasma
oraz
stawienie aplikacji Lync od strony
czy jest to normalny tryb pracy.
użytkownika. Program Microsoft Lync
2010 to doskonały klient do ujednoPodsumowanie
liconej komunikacji z możliwością
obsługi wiadomości błyskawicznych,
połączeń
głosowych
oraz spotkań.
Obecna sieć
przedsiębiorstwa
ma
W
zak
tualizowanym
inter
fejsie
zapewnić optymalne działanie
aplikacji
użytkownika programu Lync rozmaite
biznesowych
użytkowników,
jak
narzędzia dodla
komunikacji
rozmieszrównież
zapewnić
administratorowi
czono w sposób usprawniający ich
sieci
narzędzia
monitorowania
obsługę.
Funkcjedo
konferencji
są jeszcze
skuteczniejsze
dzięki wbudowanej
działania
oraz wydajności
aplikacji.
funkcjiAVC
udostępniania
pulpitu
i aplikacji,
Cisco
rozwiązuje
te kwestie,
funkcji przekazywania w programie
poprzez wykorzystanie mechanizmów
Power Point oraz funkcji kopiowania
zaimplementowanych
w infrastruki wklejania obrazów i innej
zawartości.
turze sieciowej w celu identyfikacji,
Opracowano naipodstawie
oficjalnych
monitorowania
kontroli aplikacji.
materiałów
producenta.
Aspekty
dotyczące
Cisco AVC, monitorowania, raportowania, optymalizacji oraz
M.G.
zarządzania konfiguracją sieci bezprzeInżynier SOLIDEX
wodowej za pomocą aplikacji Cisco
Prime Infrastructure 2.0 omawiane są
na autoryzowanym szkoleniu Cisco
Systems o nazwie WMUAPI znajdującym się w ofercie SOLIDEX.
SOLIDność
w każdym działaniu...
G.B.
33
35
ROZWIĄZANIA
Rozwiązania Fiber to the Office
(FTTO) firmy Microsens
W nowoczesnych środowiskach biurowych, tradycyjne oraz strukturalne
sieci napotykają na swojej drodze ograniczenia ze względu na rosnące
zapotrzebowanie na szerokość pasma. W ostatnim czasie wprowadzono
wiele technologii informatycznych, które mają zapewnić użytkownikom
wystarczający komfort w pracy oraz dużą przepustowość i jak najmniejsze
opóźnienia w systemie. Badania dotyczące zwiększenia szybkości transmisji
danych wymagają wprowadzenia nowych koncepcji sieciowych.
Takim modelem komunikacji jest
dzisiaj technologia Fiber to the
Of f ic e ( Świat ł owód do Biur a).
Światłowody w budynkach jeszcze
niedawno uważane za zbyt drogie,
aktualnie są coraz częściej stosowane
jako podstawa współczesnej sieci
t ransmisyjnej. Równie ż kosz ty
zakupu, instalacji i eksploatacji
okablowania światłowodowego są
niższe niż łączy miedzianych.
Konc epc ja F T TO (Fiber to the
Office) firmy Microsens opiera się
na wydajnej architekturze „collapsed
backbone”, czyli sieci szkieletowej
z punktem centralnym (rysunek 1). Jest
to sieć wykorzystywana w nowoczesnych środowiskach biurowych,
36
Rys. 1. Fiber to the Office — architektura „collapsed backbone”
Numer: IV/2014 (130)
Rys. 2. Fiber to the Office
łącząca okablowanie światłowodowe
i miedziane zgodnie z najnowszymi
standardami. Piony i okablowanie
poziome na piętrach wykonywane
są za pomocą światłowodów, do
których zostały podpięte przełączniki
instalacyjne Microsens. Natomiast
do bezpośredniego podłąc zenia
użytkowników końcowych stosuje
się porty miedziane (rysunek 2).
Dzię k i świat łowodom mamy
możliwość lepszej transmisji danych
na dużych odległościach w porównaniu ze zwykłym połączeniem
przewodem miedzianym. To rozwiązanie umożliwia ograniczenie ilości
p omie s z c z e ń t e c hnic z nyc h na
poszczególnych piętrach i zapewnia
pracownikom więcej powierzchni
do pracy. Poza tym nie potrzebuje
dodatkowych kosztów związanych
z zapewnieniem klimatyzacji i zasilaczy
UPS. Rozwiązanie FT TO zmniejsza
objętość okablowania nawet o 75%,
zapewniając mniejsze obcią żenie
ogniowe i odporność na zakłócenia
elektromagnetyczne.
P rze łąc zniki instalacyjne firmy
Microsens występują w wersji Fast
Ethernet (FE) i Gigabit Ethernet (GE)
jako kluczowe elementy rozwiązania F T TO. Zawierają one inteligentne połączenie światłowodowych
portów nadrzędnych i miedzianych
portów użytkownika końcowego,
wykorzystując zalety światłowodów
do okablowania piętra. Mogą być
montowane w kanałach instalacyjnych oraz podtynkowych. Są
to technologicznie zawansowane
przełączniki warstwy L2+.
Oprócz przełączników instalacyjnych
ze zintegrowanym zasilaczem 230
VAC dostępne są również wersje
z funkcją zasilania przez sieć Ethernet
(Power-over-Ethernet — PoE), która
umożliwia bezpośrednie zasilanie
podłączonych urządzeń końcowych,
takich jak telefony VoIP, kamery
internetowe i punkty dostępowe.
Wszystkie porty miedziane obsługują
nowy standard PoE+ (IEEE 802.3at)
o maksymalnej mocy 30W na port.
Nowe prze łąc zniki są dost ępne
w wersji 6-portowej z jednym światłowodowym ł ąc zem nadrzę dnym
(uplink), jednym miedzianym łączem
podrzędnym (downlink) oraz 4 portami
Gigabit-Ether net (10/ 10 0/ 10 0 0
Mbit/s). Przełączniki umożliwiają zapis
parametrów konfiguracji na karcie SD.
W przypadku wymiany urządzenia
wystarczy przełożyć kartę do nowego,
zachowując całą dotychczasową
konfigurację.
Z uwagi na nieustannie zwiększające
się zapotrzebowania na urządzenia
końcowe w nowej generacji przełączników uwzględniono adresację IPv6
w postaci funkcji IP Dual-Stack.
Zalety przełączników instalacyjnych:
• Wymiary 45 x 45 mm (system
45 x 45)
• Zwarta obudowa (bez ruchomych
części i śrub)
• Szybki i bezpieczny beznarzędziowy
montaż typu Snap-In
• Niskie zużycie energii, brak zakłóceń,
izolacja galwaniczna
• Sieciowa platforma zarządzająca
Microsens (NMP)
• Bezpieczne protokoły np. HTTPS,
SNMPv3, SSH, 802.1x, RADIUS
• Automatyczne wykrywanie i konfiguracja urządzeń za pomocą protokołu
LLDP
• Zapis ustawień systemowych na
karcie SD
• Integracja z telefonią IP
• System operacyjny Linux
Switch instalacyjny Gigabit Ethernet
6 portowy (rysunek 3), wyróżnia się
następującymi cechami:
• 4 porty 10/100/1000Base-T, 1 uplink
1000Base-SX/LX, 1 uplink Fast/Gigabit
Ethernet 100/1000Base-X
Rys. 3. Switch instalacyjny Gigabit
Ethernet 6 portowy PoE.
37
ROZWIĄZANIA
niższa cena od ceny tradycyjnych
systemów instalacyjnych.
Sieciową platformą zarządzającą
firmy MICROSENS jest Network
Management Platform (NMP), która
zapewnia następujące funkcjonalności:
• Monitorowanie i zarządzanie
oraz administracja urządzeń firmy
Microsens
• Graficzny podgląd urządzenia oraz
wizualizacja sieci
• Zarządzanie użytkownikami i definiowanie uprawnień dla grup
• Funkcja kontroli praw dostępu
dla pracowników i usługodawców
zewnętrznych
• Funkcja importu planów budynków
i map
• Monit orowanie dost ę pno ś c i,
Rys. 4. Fiber to the Office GE z PoE
aktywności portów i temperatury
• Automatyczne komunikaty alar• Zarządzanie za pomocą: SNMP, 4 8 VDC . Dostęp do zarządzania mowe i raporty
przełącznikami możliwy jest poprzez Zastosowanie systemu MICROSENS
Web, Telnet, NMP
• Port-Sercurity (VLAN, SSH, HTTPS, WWW, Telnet , SNMP i NMP. Oferuje Fiber To The Office
wszystkie funkcje ustalania priorytetu • Sektor publiczny
IEEE 802.1X)
• Power-over-Ethernet Plus zgodnie danych, VL AN i uwierzytelnianie W obliczu zmieniającego się zapotrzeb owa nia w ob e c adminis t r ac ji
z IEEE 802.3at I 802.3 af, max 30W.
zgodne z normą IEEE 80.2.1X.
elektronicznej i zarządzania, osoby
Na rysunku 4 przedstawiono zestapodejmujące decyzje administracyjne
wienie F T TO z wykorzystaniem Montaż sieci FTTO
w gminach, urzędach oraz w ministerprzełączników Gigabit Ethernet.
Przełączniki instalacyjne występują R o z w i ą z a n i e F T T O p o w s t a ł o stwach, konfrontowane są z coraz to
również w wersji Fast Ethernet w oparciu o system 45x45 mm. Jest nowymi wymaganiami. Dzisiejsza
(rysunek 5). Przedstawiony model to międzynarodowy system insta- infrastruktura informatyczna musi
posiada 4 por ty 10/ 100T X PoE , lacji infrastruktury sieciowej, zapew- spełniać szereg wytycznych zgodnych
1 port światłowodowy 100FX, 1 port niający instalację przełączników z najnowszymi rozporządzeniami
downlink 10/100TX PoE. Urządzenie w obudowach poziomych i pionowych. i zamówieniami publicznymi, dlatego
zostało wyposażone w zasilanie Zaletą systemu modułowego 45 jest właśnie rozwiązanie Fiber to the Office
Rys. 5. Switch instalacyjny Fast
Ethernet 5 portowy PoE
38
Rys. 6. Montaż w kanałach ściennych
Rys. 7. Montaż w wysuwanej kolumnie
instalacyjnej
Numer: IV/2014 (130)
Podsumowanie
Rys. 8. Montaż biurkowy
Technologia Fiber to the Office rozwija
się w ostatnich latach bardzo szybko
jako naturalny proces zdecentralizowanej koncepcji sieci dla nowoczesnych środowisk biurowych. Pozwala
to na lepsze wykorzystanie okablowania ś wiat ł owodowego or a z
miedzianego, a co za tym idzie duże
oszczędności. Rozwiązanie F T TO
gwarantuje wysoką wydajność sieci
oraz ograniczenie kosztów energii
i eksploatacji.
znalazło zastosowanie w sektorze
publicznym.
• Medycyna
System MICROSENS Fiber To The materiałów producenta.
Office dostarcza dane pacjentów
lekarzom i personelowi medycznemu
M.J.
przy maksymalnej szerokości pasma.
W odniesieniu do wysokich wymagań
do t yc z ą c yc h s t abilno ś c i E MC
(największa sieć szpitali i przychodni
w Polsce), światłowód pod względem
kosztów inwestycyjnych (C APEX)
jest tańszy od ekranowanych kabli
miedzianych. System wykor zystuje przyszłościowe kable światłowodowe o dużym zasięgu niezbędnym
do stworzenia połączeń na dużych
odległościach pomiędzy obszarami
klinik. Przy tym nie wymaga dużej
liczby dodatkowych rozdzielaczy
w poszczególnych budynkach.
• Lotnictwo
System FT TO jest odpowiedzią na
stale rosnące zapotrzebowanie na
przepustowość w nowoczesnych
portach lotniczych. Wszystkie systemy
infor matyc zne mają za zadanie
obsłużyć coraz to większą ilość danych.
• Ochrona zabytków
Koncepcja FTTO sprawdza się bardzo
dobrze podczas renowacji i rozbudowy
istniejącej sieci, znajdując zastosowanie w budynkach objętych ochroną
konserwatora zabytków.
39
ROZWIĄZANIA
Praktyczna implementacja tunelu
Site-to-Site na routerach Cisco
Wirtualne sieci prywatne (VPN) typu Site-to-Site są jedną z kilku opcji
możliwych do zastosowania w sieciach korporacyjnych, dla zapewnienia
bezpiecznych połączeń pomiędzy oddziałami firmy. W niniejszym artykule
zostanie zaprezentowana praktyczna implementacja połączenia VPN Site-toSite pomiędzy dwoma oddziałami korporacji, oddziałem CorpoA i oddziałem
CorpoB.
Przygotowanie do wdrożenia
Przed przystąpieniem do wdrożenia
V P N t ypu Sit e - t o -Sit e nale ż y
w pierwszej kolejności zweryfikować
możliwoś ć komunikacji mię dzy
węzłami tunelu. Trzeba pamiętać aby
ruch dla protokołów 50 (Encapsulating
Security Payload) i 51 (Authentication
Headre) oraz port 500 UDP (ISAKMP)
nie był blokowany na interfejsach,
które będą wykorzystywane przez
IPSec. Kolejnym ważnym etapem
w planowaniu wdrożenia omawianego
rozwiązania jest jasne i precyzyjne
zdefiniowanie ruchu, który powinien
być przesyłany poprzez bezpieczny
kanał komunikacyjny. Wybór mechanizmów szyfrowania i zabezpieczeń
Rys. 1. Topologia logiczna sieci
40
Numer: IV/2014 (130)
również powinien być adekwatny do
zagrożeń oraz wartości danych, które
będą przesyłane poprzez sieć, jak i do
możliwości technicznych urządzeń
wykorzystywanych w infrastrukturze.
jest wysyłany poza tunelem w niezakodowanej postaci.
W omawianym przykładzie cały ruch
pomiędzy podsiecią 192.168.0.0/24
i podsiecią 192 .168.1.0/24 będzie
przesyłany w bezpiecznym tunelu
Wdrożenia Site-to-Site IPsec (rysunek 2).
Z drugiej strony połączenia należy
Tu n e l I P s e c j e s t i n i c j o w a n y zdefiniować podobną listę kontrolną
w momencie, kiedy jedna ze stron zwaną „Mirrored Crypto ACL”, która
p o ł ą c z e nia V P N w y s y ł a t z w . podobnie jak lista wcześniej przed„interesujący ruch” czyli taki, który stawiona, będzie definiowała ruch
przesyłany jest między perami IPsec przesyłany poprzez bezpieczny kanał
oraz spełnia kryteria zdefiniowane komunikacyjny (rysunek 3).
w Crypto Access Control List (ACL). Przed zestawieniem bezpiecznego
Ruch, który trafia w regułę zdefi- połąc zenia IP Sec urządzenia po
niowaną w liście kontroli dostępu obu stronach tunelu muszą ustalić
(ACL) i określony jest jako ruch między sobą związki zabezpieczeń
dozwolony (Permie), jest chroniony SA (Security Association). Można to
i wysyłany poprzez tunel V PN. wykonać ręcznie lub automatycznie
Natomiast ruch niedozwolony (Deny) pr z y wykor z yst aniu prot oko ł u
CorpoA(config)#ip access-list extended VPN-TRAFFIC
CorpoA(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Rys. 2. Konfiguracja ACL dla CorpoA
CorpoB(config)#ip access-list extended VPN-TRAFFIC
CorpoB(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
Rys. 3. Konfiguracja ACL dla CorpoB
CorpoA(config)#crypto isakmp policy 1
CorpoA(config-isakmp)#encryption aes
CorpoA(config-isakmp)#hash sha
CorpoA(config-isakmp)#authentication pre-share
CorpoA(config-isakmp)#group 5
CorpoA(config-isakmp)#lifetime 86400
Rys. 4. Konfiguracja fazy 1 dla CorpoA
CorpoB(config)#crypto isakmp policy 1
CorpoB(config-isakmp)#encryption aes
CorpoB(config-isakmp)#hash sha
CorpoB(config-isakmp)# authentication pre-share
CorpoB(config-isakmp)#group 5
CorpoB(config-isakmp)#lifetime 86400
Rys. 5. Konfiguracja fazy 1 dla CorpoB
CorpoA(config)#crypto isakmp key 6 cisco123 address 10.0.0.5
Rys. 6. Konfiguracja klucza współdzielonego CorpoA
CorpoB(config)#crypto isakmp key 6 cisco123 address 10.0.0.1
Rys. 7. Konfiguracja klucza współdzielonego CorpoB
CorpoA(config)#crypto ipsec transform-set transformata esp-sha-hmac esp-aes 256
Rys. 8. Transform set dla CorpoA
IK E ( Int e r ne t K e y E xc ha nge) .
Protokół IKE(ISAKMP) wykorzystuje złożoność algorytmu Diffiego - He llma na , d z i ę k i k t ór e mu
możliwe jest utworzenie zaszyfrowanego klucza sesji bez konieczności
wcześniejszej wymiany tajnych informacji między stronami połączenia
V PN. Dział anie prot oko ł u IK E
realizowane jest w dwóch etapach
zwanych również fazami negocjacji
połączenia VPN.
Faza 1 (negocjacja IKE SA) swoim
zasięgiem obejmuje utworzenie
bezpiecznego kanału komunikacji
i wymianę kluczowych informacji,
które następnie posłużą do przeprowadzenia fazy 2 połączenia.
W skład wymienianych informacji
w ramach fazy 1 wchodzą:
• Algorytm szyfrowania (3DES, AES)
• Funkcja skrótu (MD5, SHA-1/SHA-2)
• Grupa Diffiego-Hellmana (DH
group1, DH Group5)
• Metoda uwierzytelnienia (Pre-share,
RSA Signature)
• Czas życia klucza
Grupa Diffiego-Hellmana określa
długość klucza, gdzie grupa 1 to klucz
o długości 768 bitów a grupa 5 klucz
o długości 1536 bitów.
W fazie 2 (negocjacja IP Sec SA)
ustalane są związki zabezpieczeń (SA)
transmisji danych, wykorzystywanych
do szyfrowania danych przesyłanych
w tunelu IPSec.
Konfiguracje fazy pierwszej przedstawia rysunek 4.
Podobną politykę należy skonfigurować na urządzeniu determinującym
połączenie z drugiej strony tunelu
(rysunek 5).
K olejnym et apem konfigurac ji
połączenia Site-to-Site jest zdefiniowania klucza współdzielonego do
autentykacji połączenia z urządzeniem
znajdującym się z drugiej strony tunelu
(rysunek 6 i 7).
Po wykonaniu przedstawionych
powyżej czynności konfiguracja
41
ROZWIĄZANIA
dla połączenia IPSec
Utworzoną krypto mapę (rysunek 10 i
11) należy przypiąć do odpowiedniego
interfejsu routera. Trzeba pamiętać, że
tylko jedna krypto mapa może zostać
przyłączona do pojedynczego interfejsu (rysunek 12 i 13).
CorpoB(config)#crypto ipsec transform-set transformata esp-sha-hmac esp-aes 256
Rys. 9. Transform set dla CorpoB
CorpoA(config)#crypto map CMAP_AB 10 ipsec-isakmp
CorpoA(config-crypto-map)#set peer 10.0.0.5
CorpoA(config-crypto-map)#set transform-set transformata
CorpoA(config-crypto-map)#match address VPN-TRAFFIC
Rys. 10. Konfiguracja krypto mapy na CorpoA
Weryfikacja pracy
i konfiguracji IPSec VPN
CorpoB(config)#crypto map CMAP_AB 10 ipsec-isakmp
CorpoB(config-crypto-map)#set peer 10.0.0.1
CorpoB(config-crypto-map)#set transform-set transformata
CorpoB(config-crypto-map)#match address VPN-TRAFFIC
D o wer yf ik ac ji us t awie ń or a z
s t a nu p r a c y p o ł ą c z e n i a V P N
można wykorzystać zbiór komend
możliwych do wykonania z poziomu
CLI Cisco IOS.
St an po ł ąc zenia V PN w fazie 1
można zweryfikować wykorzystując
polecenie show crypto isakmp sa
(rysunek 14).
Rys. 11. Konfiguracja krypto mapy na CorpoB
CorpoA(config)#interface serial 0/0/0
CorpoA(config-if)#crypto map CMAP_AB
Rys. 12. Przycięcie krypto mapy do interfejsu routera CorpoA
CorpoB(config)#interface serial 0/0/0
CorpoB(config-if)#crypto map CMAP_AB
Rys. 13. Przycięcie krypto mapy do interfejsu routera CorpoB
fazy pierwszej została zakończona.
Następnie można przejść do konfiguracji fazy drugiej połączenia, gdzie
oprócz określenia interesującego ruchu
(co zostało przedstawione na wstępie
tego artykułu) należy zdefiniować
transform set i krypto mapę z jej
asocjacją do odpowiedniego interfejsu.
Transform set reprezentuje pewną
kombinację protokołów i algorytmów
bez piec ze ństwa moż liwych do
wykor z ys t a nia pr z e z a k t or ów
po ł ąc zenie V PN. Strony tunelu
podczas negocjacji związków zabezpieczeń (SA) wykorzystują protokoły
przedstawione w transformacie do
ochrony przesyłanych danych.
Konfiguracja transform set została
przedstawiona na rysunkach 8 i 9. .
O s t at nim et apem konf ig ur ac ji
b e z pie c z ne go p o ł ą c z e nia je s t
utworzenie krypto mapy, która łączy
wcześniej zdefiniowaną konfigurację
ISAKMP i IPSec.
Krypto mapa koniecznie musi zawierać
parametry określające:
• Jaki ruch będzie chroniony przez
IPSec ( Crypto ACL)
• Adres IP zdalnego uczestnika połączenia IPSec
• Określenie właściwej transform set
42
Komenda
Opis
show crypto isakmp policy
Wyświetla konfigurację polityki ISAKMP
show crypto ipsec
transform-set
Wyświetla konfigurację IPSec transform set
show crypto map
Wyświetla konfigurację krypto mapy
show crypto ipsec sa
Wyświetla stan połączeni IPSec
Tabela 1. Komendy do weryfikacji IPSec.
CorpoA#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst
src
state
10.0.0.5 10.0.0.1 QM_IDLE
IPv6 Crypto ISAKMP SA
conn-id status
1001 ACTIVE
Rys. 14. Wynik polecenia show crypto isakmp sa
State
Opis
MM_NO_STATE
Faza 1 SA została utworzona, ale nie wydarzyła się
żadna inna akcja
MM_SA_SETUP
Peery połączenia VPN uzgodniły parametry fazy 1 SA
MM_KEY_EXCH
Negocjacja DH zakończyła się sukcesem, ale faza 1 SA
pozostaje nieuwierzytelniona
MM_KEY_AUTH Faza 1 SA została uwierzytelniona
QM_IDLE
Faza 1 SA uzgodniona
Tabela 2. Wartości dla state
Status
ACTIVE
Opis
Faza 1 terminowana jest na urządzeniu active w klastrze HA
STANDBY Faza 1 terminowana jest na urządzeniu standby w klastrze HA
Tabela 3. Wartości dla status
Numer: IV/2014 (130)
CorpoA#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: CMAP_AB, local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 10.0.0.5 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 504242, #pkts encrypt: 504242, #pkts digest: 504242
#pkts decaps: 502096, #pkts decrypt: 502096, #pkts verify: 502096
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 20, #recv errors 0
local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.5
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x7F116E15(2131848725)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF31DBE6A(4078812778)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2027, flow_id: Onboard VPN:27, sibling_flags 80000046, crypto m ap: CMAP_AB
sa timing: remaining key lifetime (k/sec): (4546216/3104)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x7F116E15(2131848725)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2028, flow_id: Onboard VPN:28, sibling_flags 80000046, crypto map: CMAP_AB
sa timing: remaining key lifetime (k/sec): (4546623/3104)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Rys. 15. Wynik polecenia show crypto isakmp sa
CorpoA#show crypto session
Crypto session current status
Interface: Serial0/0/0
Session status: UP-ACTIVE
Peer: 10.0.0.5 port 500
IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.5/500 Active
IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0
192.168.1.0/255.255.255.0
Active SAs: 2, origin: crypto map
Podsumowanie
Połączenie VPN typu Site-to-Site
wykorzystujące mechanizm IPSec
jest jedną z kilku możliwych dróg do
osiągnięcia pożądanego poziomu
bezpieczeństwa dla ochrony danych.
Rys. 16. Wynik polecenia show crypto sesion
Dzięki przedstawionej implementacji
uzyskujemy pewność, że komunikujące
Kolumna st at e ok re śla post ę p Faza 2 połączenia może być monitorowa- się ze sobą węzły zostały uwierzyteli stan negocjacji połączenia w fazie 1, na przy wykorzystaniu polecenie show nione przy wykorzystaniu silnego
natomiast kolumna status informuje, że crypto ipsec sa (rysunek 15), które mię- mechanizmu autentykującego a dane
tunel terminowany jest na urządzeniu dzy innymi wyświetla zbiór liczników przesyłane przez tunel są odpowiednio
active lub standby w przypadku szyfrowanych i deszyfrowanych danych, zabezpieczone poprzez algorytmy
konfiguracji kilku routerów w trybie przesyłanych przez bezpieczny kanał ko- dbające o poufność i integralność danych.
high-availability.
munikacyjny.
Wartości jakie mogą zostać wyświe- Poprawne działanie tunelu można rówP.G.
tlone w kolumnach state lub status nież zweryfikować przy wykorzystaniu
zostały przedstawione w tabelach 2 i 3. polecenia show crypto sesion (rysunek 16).
43
ROZWIĄZANIA
F5 Networks Application
Acceleration Manager (AAM)
Sieci korporacyjne coraz częściej są przeciążone przez rosnącą liczbę funkcji, które
realizują. Zachowanie stabilnej i niezawodnej infrastruktury sieciowej staje się
ogromnym wyzwaniem w kontekście rosnących wymagań na przepustowość
oraz konieczności obsługi coraz większej liczby aplikacji. Dodając do tego
dynamicznie zmieniającą się specyfikę ruchu, przejście z transmisji danych
tekstowych na zawartości multimedialne czyni zadanie jeszcze trudniejszym.
Odpowiedzi na pytanie jak zagwarantować gotowość naszego środowiska IT
do spełnienia stawianych mu wymagań jest kilka. Jedną z nich jest inwestycja
w przepustowość łącz, jednak taki precedens może okazać się niezwykle
kosztowny. Firma F5 Networks posiada w swoim portfolio rozwiązanie
efektywne kosztowo. Niniejszy artykuł ma na celu zaprezentowanie jak za
pomocą dedykowanych narzędzi możemy inteligentnie zarządzać pasmem
i utrzymać naszą sieć w stale dobrej kondycji.
Zmieniająca się
przepustowość
dynamicznie generowanych zawartości przez co ich rozmiar rośnie z dnia
na dzień. Dodatkowo większość najNie od dzisiaj wiadomo, że wyma- częściej odwiedzanych witryn internegania na przepustowość stale rosną towych obrała kierunek dostarczania
w zastraszającym tempie. Zauważalne informacji za pośrednictwem plików
jest to zarówno w skali globalnej, jak wideo. Nakładając na to transmisję
i w segmentach sieci korporacyjnych. multimediów w jakości HD (High DefiKorzystanie z aplikacji przeglądarko- nition) okazuje się, że wymagania na
wych staje się coraz bardziej popu- przepustowość mają tendencję wzrolarne. Wyposażone są one w zestaw stową o charakterze ekspotencjalnym.
44
Wartości te nabierają większego ogromu
rozpatrując przepustowość w środowisku mobilnym, w którym opóźnienie
oraz stopa błędu są relatywnie wysokie.
Dostarczenie żądanej przez użytkowników smartfonów i tabletów aplikacji
generuje większą liczbę retransmisji
oraz wymaga większego narzutu
pakietowego w celu zapewnienia
detekcji oraz korekcji błędów z kanału
transmisyjnego.
Numer: IV/2014 (130)
IP Traffic, 2010-2015
2010
2011
2012
2013
2014
2015
CAGR
2010-2015
Fixed Internet
14,955
20,65
27,434
35,879
46,879
59,354
32%
Managed IP
4,989
6,839
9,014
11,352
13,189
14,848
24%
Mobile data
237
546
1,163
2,198
3,806
6,254
92%
By Type (PB per Month)
Tabela 1. Ilość ruchu IP w skali globalnej. Źródło: Cisco Systems.
Rys. 1. Ilość użytkowników Internetu na 100 mieszkańców. Źródło: International
Telecommunications Union.
BIG-IP AAM
przeciążenia w sieci, BIG-IP A AM
może pomóc.
S t a r ym s pr aw d z onym r oz wi ą - Jedną z zalet rozwiązania jest możliz a n i e m p o t r z e b y n a w i ę k s z ą wość odciążenia serwerów zlokaprzepustowoś ć było zwyc zajne lizowanych w centrach danych
zwiększenie przepustowości. Proces z zasobochłonnych operacji. Zadania
ten jednak wiązał się z wysokimi związane z szyfrowaniem ruchu czy
kosztami inwestycyjnymi zarówno też z kompresją odpowiedniej porcji
na rozbudowę infrastruktury jak i na danych mogą być przeniesione na
odpowiednie zaplanowanie zakupów system F5. Dzięki takiemu zabiegowi
rozważając parametr skalowalności. serwery aplikacyjne mogą robić to, do
Idealnym rozwiązaniem wszystkich czego zostały wdrożone – udostęptych problemów wydaje się być niać aplikacje i nie martwić się o jakość
produkt firmy F5 Networks Appli- i bezpieczeństwo dostarczanych usług.
cation Acceleration Manager (AAM).
Jest on zaprojektowany tak, aby Odpowiedź na problemy
skutecznie służyć każdej organizacji
niezależnie od wymagań na przepusto- Samym sednem wykorzystania BIG-IP
wości dla odpowiedniego udostęp- Application Acceleration Manager jest
nienia aplikacji. Niezależnie od tego, wprowadzenie optymalizacji wykorzyczy połączenia zużywają zbyt dużo stania zasobów naszych serwerów,
pasma, czy usługi pracujące w tle, optymalizacji pasma sieciowego oraz
jak na przykład replikacja powodują podniesienie parametru Quality of
Experience (QoE). Wykonywane jest to
poprzez inteligentną redukcję danych
wymienianych przez infrastrukturę
sieciową. Sam system F5 realizuje to
za pomocą:
• Optymalizacji TCP – AAM potrafi
zredukować narzut wprowadzany
przez protokół TCP w standardowej
komunikac ji (podc zas nawią zywania sesji oraz korekcji błędów).
Wszystko to pozwala na ograniczenie ilości niepotrzebnych danych
wysyłanych przez sam protokół TCP.
Proces ten jest zupełnie niewidoczny
z punktu widzenia samej aplikacji,
środowiska sieciowego oraz stacji
końc owych zaanga ż owanych
w komunikację. BIG-IP AAM precyzyjnie wybiera rozmiar okna TCP,
który jest kompromisem pomiędzy
najwyższą możliwą przepustowością, a minimalną liczbą retransmisji.
• Kompresji symetrycznej – A AM
przeprowadza kompresję niemalże
w sposób tożsamy do kompresji
programowej stosowanej na dyskach
twardych. Przesyłane dane są odpowiednio kompresowane nim zostaną
wysłane do swojego odbiorcy. Po
drugiej stronie transmisji paczka
danych jest rozpakowywana w celu
otrzymania oryginalnych informacji.
Ze względu na konieczność zachowania poprawności działania samej
aplikacji kompresja dokonywana
jest na pojedynczym strumieniu
danych jednocześnie.
• Deduplikacji symetrycznej – AAM
realizuje mechanizm deduplikacji
przed wprowadzeniem kompresji
danych. Dzieje się tak, gdyż system
45
ROZWIĄZANIA
aplikacji. Taką porcję danych zapisuje
na własnych zasobach i po otrzymaniu odpowiedniego zapytania
samodzielnie udziela odpowiedzi.
Dzięki temu wprowadzone jest
zdecydowanie mniejsze opóźnienie
w transmisji oraz serwery aplikac yjne s ą w mniejsz ym st opniu
obciążone. Użytkownicy aplikacji
nie są w żadnym stopniu świadomi
takiej pracy systemu, a jej wynik
pozwala podnieść jakość z samej
pracy z aplikacją.
Proxy
Rys. 2. BIG-IP AAM Policy Editor.
F5 musi mieć pewnoś ć , że taka
porcja danych nie została już wcześniej przesłana do klienta. W sytuacji, w której pojawia się powtórzenie
F5 A AM usuwa te dane z samego
pakietu. Zdecydowanie ogranicza to
ilość danych, które trafiają do silnika
kompresującego, a konsekwentnie
ilość danych wysyłanych klientowi.
Polityki akceleracji
Polityki akceleracji to zbiór określonych
reguł, które definiują jak system
BIG-IP obsługuje konkretne żądania
HT TP i odpowiedzi. Rozwiązanie
wykorzystuje do tego celu dwa typy
reguł: matching rules oraz acceleration
rules. Pierwsze z nich matching rules
są używane do odpowiedniej klasyfikacji żądań HTTP na podstawie typów
obiektów i odpowiedniego przypisania
sesji do konkretnej polityki akceleracji. Po poprawnym dopasowaniu
BIG-IP AAM obsługuje ruch zgodnie
z zaimplementowanym w acceleration
rules schematem.
Zależnie od specyfiki aplikacji informacje zawar te w pakiecie HTTP
Request mogą pociągnąć za sobą jeden
typ odpowiedzi (na przykład rozszerzenie pliku .jsp), w sytuacji której
46
faktyczna odpowiedź jest zupełnie
inna (na przykład plik z dokumentem).
By prawidłowo okre ślić rzec zywistą komunikację system BIG-IP
weryfikuje ruch z matching policy
dwukrotnie: pierwszy raz dla HTTP
Request oraz drugi raz dla HTTP
Response. Oznacza to, że żądanie oraz
odpowiedź mogą zostać dopasowane
do dwóch różnych acceleration rules.
Wprowadza to znacznie większe możliwości w sytuacji, gdy aplikacja ma
niejednolity charakter. Gwarantuje
nam to prawidłowe zakwalifikowanie
ruchu oraz jego obsługę zgodnie ze
stowarzyszonymi z nim regułami.
Zapisywanie w pamięci
podręcznej
W celu optymalizacji pracy aplikacji
BIG -IP A A M potrafi zapisywać
w swojej pamięci podręcznej pewne
elementy odpowiedzi generowane
przez same serwery aplikacyjne. Sam
system F5 mając dostęp do komunikacji między klientem i serwerem
potrafi zaobserwować najczęstsze
żądania użytkowników. Wynikiem
takiej analizy statystycznej jest
oznac zenie konkretnych danych
ja ko p opula r nyc h o dp owie d z i
W domyślnej konfiguracji system
BIG-IP podejmuje próbę zapisania
i obsługi w swojej lokalnej pamięci
podr ę c znej wszystkich zapyt ań
HT TP. Jeżeli z pewnych przyczyn,
jak na przykład polityka korzystania
z aplikacji lub regulacje zewnętrzne,
dla niektórych porcji danych nie
chcemy tego robić, to istnieją opcje
konfiguracyjne reguł dotyczących
proxy. Za ich pomocą identyfikujemy
zapytania HT TP, które mają zostać
bezpośrednio przekazane do serwera
aplikacyjnego. Dodatkowo możliwe
jest zdefiniowanie z poziomu A AM
proxy dla konkretnego serwera.
Za pomocą opcji konfiguracyjnej
Always proxy requests for this node
jesteśmy w stanie zapewnić przekazywanie zapytań i odpowiedzi bez
zapisywania w pamięci podręcznej
zawartości danej sesji.
Akceleracja
System BIG-IP posiada szereg wbudowanych mechanizmów akcelerujących
pracę chronionej aplikacji. Zgodnie ze
zdefiniowanymi w systemie politykami
możliwe jest dostarczanie zawartości stron aplikacyjnych w bardziej
wydajnej formie. Rozumie się przez
to kompresję danych wymienianych
pomiędzy serwerem a klientem oraz
optymalizację wysyłanych zawartości
Numer: IV/2014 (130)
Rys. 3. Akceleracja pracy aplikacji.
w miejscach, gdzie tylko to możliwe.
Całość pracy systemu ma na celu
poprawienie odczuwalnej jakości
pracy z aplikacją przy jednoczesnym
zachowaniu pełni jej funkcjonalności. Dzięki temu uzyskujemy
zdecydowanie szybszy czas reakcji
aplikacji odczuwalny przez jej klienta
oraz ograniczamy zużycie pasma.
Schemat działania zilustrowany jest
na rysunku 3.
Do obiektów będących elementem
zawartości aplikacji, które możemy
akcelerować z pewnością można
zaliczyć:
1. Cascading Style Sheet (CSS) oraz
skrypty JavaScript. Realizowane jest
to poprzez poprawę zdolności przeglądarek internetowych do renderowanie otrzymywanych zawartości.
A AM ogranicza rozmiar oraz liczbę
pakietów związanych z elementami
graficznymi (CSS) oraz wbudowanymi w stronę skryptami. Wykonuje
to w oparciu o konkatenację oraz tzw.
inlining (usunięcie znaków końca linii).
Dodatkową opcją konfiguracyjną jest
minimalizacja zawartości, która eliminuje niepotrzebne spacje, komentarze
oraz znaki specjalne.
2. Pliki PDF. Duże pliki PDF potrafią
spowodować relatywnie spore
opóźnienie w wyświetleniu pełni
zawartości strony. Dzieje się tak
dlatego, że przed uzyskaniem dostępu
do samej strony cały plik PDF musi
zostać pobrany. BIG-IP AAM potrafi
przyspieszyć ten proces wykorzystując do tego celu linearyzację (optymalizację). Linearyzacja plików PDF
pozwala na ich konwersję do formy
bajtowej, dzięki czemu użytkownik
aplikacji odnoszący się do konkretnych zasobów dokumentu otrzymuje
jedynie interesujące go informację,
a nie całość pliku.
3. Obrazki. A A M posiada opcję
w konfiguracji, która umożliwia
optymalizację obrazów. Pozwala to
na zdecydowane ograniczenie ich
rozmiaru między innymi poprzez
usunięcie zbędnych metadanych,
zmianę formatu oraz podniesienie
poziomu kompresji. Funkcjonalność
ta znajduje bardzo szerokie zastosowanie w różnego rodzaju aplikacjach mobilnych, w których śmiało
zastosować można elementy obrazu
o niższej rozdzielczości bez wyraźnego
ograniczenia jakości prezentowanych
treści. Formaty, do których możliwa
jest konwersja obrazów to:
• JPEG (z opcją wyboru stopnia
kompresji),
• GIF (rekomendowane przez F5
stadia jakości),
• PNG (z opcją redukcji do określonej
liczby kolorów),
• TIFF (rekomendowane przez F5
stadia jakości).
Zarządzanie ruchem HTTP
Application Acceleration Manager
posiada funkcjonalność zarządzania
ruchem HT TP w oparciu o profile.
Pierwszym z nich jest BIG-IP Acceleration SPDY Profile, natomiast drugim
jest profil dla ruchu HTTP 2.0. Jednak
ze względu na fakt, iż pełna specyfikacja HTTP 2.0 znajduje się obecnie
w fazie draftu (numer 12), firma F5
Networks traktuje tę funkcjonalność
jako eksperymentalną.
Wykorzystanie profili wprowadza
zdecydowaną redukcję opóźnień
zapytań http poprzez multipleksowanie strumieni ruchu oraz zastosowanie kompresji nagłówków.
Odnosząc się do wykorzystania możliwości SPDY, sama konfiguracja po
stronie urządzenia F5 jest niezwykle
prosta. Poprzez przypisanie profilu
SPDY do wirtualnego serwera, sam
serwer informuje klientów aplikacji,
że posiada możliwość pełnej obsługi
47
ROZWIĄZANIA
zapytań typu SPDY. Zasada działania została przedstawiona w poniższych punktach:
1. Gdy klient wysyła zapytanie http,
zdefiniowany wirtualny serwer (z przypisaną odpowiednią iRule) obsługuje
zapytanie jako standardową sesję http.
2. Podczas przesyłania zapytania
z A A M do ser wera, system F 5
umieszcza w nagłówku informację,
że dostępna jest obsługa za pomocą
protokołu SPDY.
3. BIG-IP po otrzymaniu odpowiedzi
z serwera kompresuje ją, zapisuje
w pamięci podręcznej oraz wysyła ją
do klienta.
4. Klient, którego oprogramowanie
wspiera protokół SPDY generując
następne zapytanie korzysta już
z protokołu SPDY.
5. System BIG-IP dokonuje konwersji
zapytania SPDY na zapytanie http
i przekazuje do serwera aplikacyjnego.
6.Odpowiedź serwera aplikacyjnego
jest następnie ponownie konwertowana do postaci zgodnej ze standardem SPDY.
Intelligent Browser
Referencing
Forward Error Correction
(FEC)
Kolejną funkcjonalnością godną uwagi
jest mechanizm F5 zwany Intelligent
Browser Referencing (IBR). Ta opcja
konfiguracyjna pozwala na poprawę
wydajności przeglądarki internetowej, z której korzysta klient aplikacji.
Narzędzie to pozwala na zredukowanie
liczby zapytań kierowanych do samej
strony internetowej, które dotyczą
elementów statycznych, takich jak
obrazki czy też pliki ze stylami CSS.
Realizowane jest to z wykorzystaniem
pamięci podręcznej samej przeglądarki.
System BIG-IP Application Acceleration Manager posiada wbudowane
mechanizmy realizujące Forward Error
Correction (FEC). Dokonywane jest to
przez dodanie redundantnych informacji do transmitowanych danych
aplikacyjnych. FEC zapewnia korekcję
b łę dów dla ka żdego protoko ł u
opartego na IP. Taka metoda zapewnienia poprawności transmitowanych
danych jest preferowana wobec
mechanizmów retransmisji stosowanych przez protokół TCP.
Rys. 4. Schemat działania FEC.
Rys. 5. Architektura wdrożenia F5 LTM wraz z modułem AAM.
48
Numer: IV/2014 (130)
Implementacja FEC prezentuje się
w następujący sposób. System BIG-IP
agreguje pewną liczbę pakietów
w zdefiniowanym czasie. Następnie
dzieli zawartość na określoną liczbę
pakietów o równym rozmiarze (source
packets w numenklaturze F5) oraz
dodaje odpowiednią liczbę pakietów
redundantnych, które mają zapewnić
korekcję błędów wprowadzonych
przez szum w kanale transmisyjnym.
Sam system korekcji potrafi w pełni
zaadaptować się do środowiska
komunikacyjnego. Oznacza to, że
BIG-IP stale monitoruje stopę błędu na
ścieżce łączącej go z klientem aplikacji.
Pozwala to na dynamiczne manipulowanie narzutem dodawanym do informacji aplikacyjnych.
F5 Networks pozwala również cieszyć
się pełnym zestawem możliwości
pozostałych zaimplementowanych
modułów w pełnej integracji. Dzięki
temu oprócz akceleracji samej aplikacji
oraz ograniczenia pasma sieciowego
zyskujemy również:
• Równoważenie obciążenia poprzez
serwery w puli;
• Inteligentny routing;
• SSL Offloading;
• Możliwości programowe związane
z wykorzystaniem iRules.
Podsumowanie
W bieżącym świecie ruch sieciowy
stale wzrasta, zarówno w kategorii
liczby jak i rozmiaru przesyłanych
zapytań. W konsekwencji wymagania
na pasmo sieciowe również stale rosną.
Integracja z BIG-IP LTM
Staje się to ogromnym problemem dla
Application Acceleration Manager organizacji udostępniających pewne
jest kolejnym modułem możliwym usługi sieciowe czy aplikacje. Muszą
do uruchomienia na platformie sprzę- one z niezwykłą starannością dbać
towej F5 BIG-IP. Instalacja AAM jako nie tylko o swoje centra danych, ale
kolejnego komponentu w architekturze również mieć na uwadze jakość aplikacji
wystawianych swoim użytkownikom.
Wszystko to sprawia, że kolejnym
kryterium sukcesu staje się optymalizacja pracy aplikacji, a co za tym idzie
optymalne wykorzystanie zasobów
z nią współpracujących. Firma F5
Networks posiada w tej materii gotowy
przepis na sukces. Wykorzystanie
pełni możliwości modułu Application
Acceleration Manager rozwiązuje wiele
problemów i jednocześnie pozwala
działom IT spać spokojnie ze świadomości, że ich aplikacja jest dostarczana w bezpieczny, niezawodny oraz
optymalny sposób.
M.M.
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 51
49
Warsztaty Check Point Next – Generation Firewall R76
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję
szkoleniową – Warsztaty Check Point Next – Generation Firewall R76.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN S2S
oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami – IPS,

Content Security,
 Integracja z ActiveDirectory
– budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.SOLIDEX.com.pl/oferta/warsztaty
Autoryzowane szkolenia
Autoryzowane Szkolenia Cisco
System
Program SOLIDEX®
ICND1
ICND2
CCNAX
ROUTE
SWITCH
TSHOOT
BGP
MPLS
QOS
IINS
SENSS
SITCS
SISAS
SIMOS
SASAA
SASAC
SWISE
ACS
SASSL
SISE
ICOMM
CVOICE
WMNGI
CUWN
CIPT1
CIPT2
CWLMS
IP6FD
IUWNE
DESGN
ARCH
IPS
SAEXS
Interconnecting Cisco Network Devices Part 1
Interconnecting Cisco Network Devices Part 2
Interconnecting Cisco Networking Devices: Accelerated
Implementing Cisco IP Routing
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
Configuring BGP on Cisco Routers
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Implementing Cisco Edge Network Security Solutions
Implementing Cisco Threat Control Solutions
Implementing Cisco Secure Access Solutions
Implementing Cisco Secure Mobility Solutions
Implementing Advanced Cisco ASA Security
Implementing Core Cisco ASA Security
Implementing Cisco Identity Services Engine for Wireless Engineers
Implementing Cisco Secure Access Control System
Managing Advanced Cisco SSL VPN
Implementing and Configuring Cisco Identity Services
Introducing Cisco Voice and Unified Communications Administration
Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs
Cisco Unified Wireless Networking
Implementing Cisco Unified Communications Manager Part 1
Implementing Cisco Unified Communications Manager Part 2
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
Implementing Cisco Unified Wireless Networking Essentials
Designing for Cisco Internetwork Solutions
Designing Cisco Network Service Architectures
Implementing Cisco Intrusion Prevention System
Cisco ASA Express Security
Infolinia: 800 49 55 82
Kraków
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944
Redakcja:
SOLIDEX S.A. ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
Oddano do druku: listopad 2014
Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli.
www.integrator.SOLIDEX.com.pl

W numerze między innymi: - Integrator

Transkrypt

Podobne dokumenty

Integrator Nr I/2012 (118)

Integrator Nr III/2013 (124)

Integrator Nr II/2011 (115)

Integrator nr III/2014 (128)

Szkolenia

Bring Your Own Device

Integrator Nr I/2013 (122)

WAF (Web Application Firewall)

Inteligentne usługi w sieciach bezprzewodowych

Ochrona danych w urządzeniach mobilnych i nie tylko

DPD Dodatkowe zalecenia - elektronika i sprzęt RTV AGD

Integrator Review 3/2008

Integrator Nr IV/2012 (121)

Rysunek architektoniczno

Integrator Review Wydanie Jubileuszowe

Integrator Nr I/2014 (126)

The Orthos Letter nr 3 - Koło naukowe

czy smart tv jest smart?