Integrator Review 3/2008
Transkrypt
Integrator Review 3/2008
Nr III/2008 BIULETYN INFORMACYJNY SOLIDEX NOWOŚCI Innowacja w zabezpieczeniu danych – Cisco GET VPN Wydarzenia SOLIDEX Złotym Partnerem Cisco Expo 2008 ROZWIĄZANIA Projektowanie wygodnych serwisów „dla ludzi”? TECHNOLOGIE Świat technologii Cisco Unified Communications 7.0 Gold Certified Partner Learning Partner Advanced Unified Communications Advanced Technology Partner Outdoor Wireless Mesh Advanced Wireless LAN Advanced Routing and Switching Advanced Security Check Point Platinum Partner Check Point Certified Collaborative Support Provider Crannog Software Reseller Principal Membership Level Direct Solution Provider Nokia Authorized Security Partner TrueNorth Associate Partner Support Services Subcontractor F5 Premier Advantage Partner Premium Partner Gold Partner Crossbeam Authorized Partner X (CAP X) Crossbeam Accredited Service Partner McAfee Premier Partner RSA SecurWorld Solutions Partner RSA SecureCare Provider Partner Oracle Poland HP Software Gold Partner HP Preferred Partner Citrix Silver Solution Advisor Authorized Support Partner NetApp VIP Reseller Symantec Gold Partner Advanced Solution Partner Endance Authorized Distributor IBM Business Partner Premier Partner © SOLIDEX, 2006 2 Spis treści Szanowni Państwo, W niniejszym wydaniu INTEGRATORA – REVIEW prezentujemy najciekawsze artykuły, które ukazały się na łamach czterech wydań INTEGRATORA ONLINE w okresie od września do grudnia 2008 roku. Mamy nadzieję, że prezentowane tematy spotkają się z Państwa zainteresowaniem. Pragniemy przypomnieć, że INTERATOR ONLINE nie wymaga rejestracji i jest ogólnodostępny w naszym serwisie www.SOLIDnySerwis.pl . Zachęcamy do lektury!!! Wesołych Świąt Bożego Narodzenia oraz wszelkiej pomyślności w nadchodzącym Nowym Roku wraz z podziękowaniami za owocną współpracę życzy Zarząd i Pracownicy SOLIDEX Wydarzenia 4 4 4 4 5 5 5 5 5 6 6 6 SOLIDEX wyróżniony tytułem Cisco Customer Satisfaction Excellence Kolejne seminarium SOLIDEX SOLIDEX rozbuduje sieć LAN dla Uniwersytetu Kazimierza Wielkiego SOLIDEX otrzymał statuetkę aliansu ServiceOne System komunikacji wewnętrznej dla Narodowego Funduszu Zdrowia Budowa Centrum Przetwarzania Danych dla Narodowego Funduszu Zdrowia SOLIDEX - 10 lat Złotym Partnerem Cisco Systems SOLIDEX wyróżniony nagrodą "F5 Special Achievement Reward 2008 SOLIDEX Złotym Partnerem Cisco Expo 2008 V Seminarium SOLIDEX SOLIDEX nominowany do tytułu „Filara Polskiej Gospodarki 2008” SOLIDEX – „Preferowany Partner HP” na rok 2009 NOWOŚCI 8 13 15 Urządzenia Fortinet w rozwiązaniach bezpieczeństwa dla sektora operatorskiego IT w służbie procesów biznesowych Innowacja w zabezpieczeniu danych – Cisco GET VPN TECHNOLOGIE 20 23 Świat technologii Cisco Unified Communications 7.0 Mechanizmy bezpieczeństwa IOS i metody ich wykorzystania ROZWIĄZANIA 30 36 Cisco NAC Appliance i jego możliwości Projektowanie wygodnych serwisów „dla ludzi”? © SOLIDEX, 2008 Wydarzenia SOLIDEX wyróżniony tytułem Cisco Customer Satisfaction Excellence W trakcie kwartalnych badań satysfakcji Klienta Cisco - SOLIDEX został nagrodzony tytułem Cisco Channel Customer Satisfaction. Kolejne wyróżnienie dla naszej Firmy potwierdza wysoki poziom zadowolenia użytkowników produktów Cisco z oferowanych przez nas rozwiązań. Badanie przeprowadzone jest w oparciu o kwestionariusze ankiet, które zawierają szereg szczegółowych pytań, pozwalających Klientowi wyrazić swoją opinię na temat pracy partnera w niemalże każdym z możliwych zakresów. Ocenie poddawany jest m.in. poziom oferowanych produktów, działań wspierających sprzedaż oraz usług serwisowych. Wieloletnie doświadczenie SOLIDEX w zakresie sprzedaży, wdrażania i utrzymywania produktów Cisco pozwoliło zdobyć zaufanie Klientów, którzy po raz kolejny wysoko ocenili jakość świadczonych przez nas usług. Przedsiębiorstwa posiadające status Cisco Channel Satisfaction Excellence, zostają wyróżnione na stronach Cisco w narzędziu Cisco Partner Locator, dzięki widniejącym przy ich nazwach złotych gwiazdkach. SOLIDEX jest jedną z pięciu firm w Polsce o statusie Gold Partner Cisco, które uzyskały najwyższy poziom zadowolenia Klientów. prelegentów znaleźli się przedstawiciele znanych i cenionych firm w branży IT, takich jak: CISCO, TANDBERG i CONTEC. Nowocześnie wyposażone sale, wykwalifikowana kadra inżynierów oraz miła atmosfera panująca podczas seminarium, była doskonałą okazją do zdobycia wiedzy i podniesienia swoich kompetencji. Serdecznie dziękujemy za udział w naszym seminarium. Wszystkich zainteresowanych uczestnictwem w kolejnym z bezpłatnych seminariów SOLIDEX prosimy o zgłaszanie się na adres: seminaria@SOLIDEX. com.pl . Kolejne seminarium SOLIDEX Dnia 11 września 2008 roku odbyło się IV z kolei spotkanie, z cyklu „Seminaria SOLIDEX”, pt. „Nowoczesne systemy zintegrowanej komunikacji jako element budowy przewagi konkurencyjnej”. Zajęcia prowadzone były przez SOLIDnych EXpertów oraz naszych Partnerów w nowoczesnym Centrum Kompetencyjno-Szkoleniowym w Złotych Tarasach w Warszawie. Tym razem wśród Szczegółowa agenda oraz harmonogram seminariów znajduje się na stronie: www.SOLIDEX.com.pl/251_2048.htm . SOLIDEX rozbuduje sieć LAN dla Uniwersytetu Kazimierza Wielkiego Dnia 23 lipca 2008 roku SOLIDEX podpisał umowę z Uniwersytetem Kazimierza Wielkiego w Bydgoszczy na dostawę sprzętu sieciowego wraz z oprogramowaniem. W ramach kontraktu SOLIDEX dostarczy sieć radiową i urządzenia sieciowe. Celem projektu jest rozbudowa oraz modernizacja lokalnych wydziałowych sieci komputerowych LAN. Całość zostanie objęta szybkim serwisem gwarancyjnym, a certyfikowani inżynierowie SOLIDEX zapewnią profesjonalne wsparcie techniczne zainstalowanym urządzeniom. SOLIDEX od początku swojej obecności na rynku podejmuje ambitne wyzwania, realizując wiele innowacyjnych projektów IT w sektorze publicznym. Naszym Klientom zapewniamy najwyższą jakość usług, w tym profesjonalną opiekę techniczną na każdym etapie realizowanych inwestycji. SOLIDEX otrzymał statuetkę aliansu ServiceOne W listopadzie 2008 roku SOLIDEX otrzymał statuetkę poświadczającą przynależność do elitarnego aliansu ServiceOne, skupiającego firmy, uznawane w swoich krajach za ekspertów w dziedzinie wdrażania i integracji systemów. ServiceOne świadczy wsparcie serwisowe w 51 krajach, obejmując 130 biur regionalnych oraz dysponując w sumie ok.1500 wysoko wykwalifikowanymi inżynierami (w tym ponad 132 inżynierami CCIE). Wszyscy członkowie Aliansu ServiceOne posiadają najwyższe certyfikaty i specjalizacje w najlepszych światowych technologiach, w tym prawie wszyscy posiadają status Złotego Partnera Cisco. W ramach współpracy dzielą się posiadaną wiedzą i umiejętnościami oraz przekazują sobie wypracowane najlepsze wzorce postępowań. Celem przedsięwzięcia jest udostępnienie lokalnych produktów i usług Klientom na całym świecie. Poprzez wiedzę, doświadczenie, referencje i dostępność geograficzną, ServiceOne chce świadczyć usługi najwyższej jakości. Więcej na temat Aliansu ServiceOne oraz firm biorących udział w przedsięwzięciu znajdą Państwo na stronie: www.serviceonealliance.com . INTEGRATOR REVIEW (iII/2008) 4 Wydarzenia System komunikacji wewnętrznej dla Narodowego Funduszu Zdrowia Dnia 14 sierpnia 2008 roku SOLIDEX podpisał umowę na dostawę systemu komunikacji wewnętrznej w ramach istniejącej infrastruktury sieciowej do Centrali Narodowego Funduszu Zdrowia. Celem projektu jest wdrożenie systemu komunikacyjnego opartego o rozwiązanie Cisco Unified Communications Manager. Dla podniesienia jakości oraz funkcjonalności - system wyposażony zostanie w zestawy VT Advantage, pozwalające na łatwą i efektywną komunikację wideo w systemie telefonii IP. Funkcjonalność VT Advanatage ma szczególne znaczenie, gdyż podnosi wartość użytkową systemu telefonicz- nego, a zestawienie połączenia jest równie proste jak tradycyjne połączenie telefoniczne. W ramach kontraktu SOLIDEX przygotuje szczegółowy projekt techniczny, dokona instalacji, konfiguracji i uruchomienia komunikacji wewnętrznej w Centrali NFZ w Warszawie. Całość zostanie objęta szybkim serwisem gwarancyjnym. Certyfikowanie inżynierowie SOLIDEX zapewnią profesjonalne wsparcie techniczne zainstalowanym urządzeniom. zwania, realizując wiele innowacyjnych projektów. Bogate doświadczenie Firmy w zakresie wdrażania i utrzymania produktów światowych liderów IT, unikatowa metodologia realizacji usług i systemów teleinformatycznych, wykwalifikowania kadra techniczna, sieć placówek regionalnych oraz centra kompetencyjno-szkoleniowe w Warszawie i Krakowie są gwarancją sukcesu powierzonych nam inwestycji. SOLIDEX od początku swojej obecności na rynku podejmuje ambitne wy- Budowa Centrum Przetwarzania Danych dla Narodowego Funduszu Zdrowia SOLIDEX w dniu 18 lipca 2008 roku podpisał umowę, obejmującą dostawę i wdrożenie zespołu urządzeń do Centrum Przetwarzania Danych (CPD) w Narodowym Funduszu Zdrowia. Celem projektu jest budowa infrastruktury sieciowej w układzie wysokiej dostępności, co w konsekwencji zapewni ciągłość przetwarzania danych oraz umożliwi wdrażanie nowych usług i aplikacji. Bardzo ważnym kryterium stawianym przed realizacją projektu jest także współpraca i koordynacja działań pomiędzy różnymi podmiotami zaangażowanymi w realizację postawionego celu, takimi jak operatorzy telekomunikacyjni oraz producenci systemów i aplikacji wykorzystywanych przez NFZ. wie SOLIDEX zapewnią profesjonalne wsparcie techniczne zainstalowanym urządzeniom. Zakres dostaw będzie obejmował routery brzegowe Cisco XR 12000, przełączniki sieciowe serii Catalyst 6500 oraz urządzenia zapewniające ochronę sieciową Cisco ASA 5500. W ramach kontraktu SOLIDEX przygotuje szczegółowy projekt techniczny, dokona instalacji, konfiguracji i uruchomienia urządzeń sieciowych w obu Centrach Przetwarzania Danych NFZ. Całość zostanie objęta szybkim serwisem gwarancyjnym. Certyfikowanie inżyniero- SOLIDEX od lat działa na rynku IT w sektorze publicznym, zdobywając doświadczenie w zakresie kompleksowej realizacji nawet najbardziej skomplikowanych przedsięwzięć, od dostaw i instalacji, poprzez prace wdrożeniowe i szkolenia. Naszym Klientom zapewniamy najwyższą jakość usług, w tym profesjonalną opiekę techniczną na każdym etapie realizowanych inwestycji. SOLIDEX - 10 lat Złotym Partnerem Cisco Systems W październiku 2008 roku SOLIDEX po raz dziesiąty przeszedł pomyślnie proces recertyfikacji, zachowując status Złotego Partnera Cisco Systems (Cisco Gold Certified Partner). Firma sprostała wszystkim stawianym wymaganiom, dotyczącym wykwalifikowanego personelu, zakresu wsparcia technicznego, posiadanych specjalizacji oraz kryteriów związanych z poziomem zadowolenia Klientów. Tytuł Złotego Partnera Cisco Systems, który nieustannie utrzymujemy od dziesięciu lat, jest najlepszym dowodem zaangażowania we współpracę, a przede wszystkim doskonałej znajomości technologii i rozwiązań Cisco. Status Gold Certified Partner jest gwarancją wysokiej jakości świadczonych usług, niezależnie od stopnia ich złożoności, począwszy od wdrażania, poprzez wsparcie technicz- ne i sprzedaż produktów Cisco. Rozwiązania proponowane przez SOLIDEX w połączeniu z bezkonkurencyjna technologią Cisco Systems pozwalają realizować nawet najbardziej innowacyjne projekty teleinformatyczne. © SOLIDEX, 2008 5 Wydarzenia SOLIDEX wyróżniony nagrodą „F5 Special Achievement Reward 2008” W listopadzie 2008 roku SOLIDEX otrzymał prestiżową nagrodę „F5 Special Achievement Reward 2008” w trakcie corocznej konferencji partnerów EMEA, która tym razem odbyła się w Barcelonie. Nagroda przyznana Firmie za wybitne osiągnięcia w dziedzinie biznesu, potwierdzone najwyższą sprzedażą w Europie Wschodniej, została złożona na ręce Dyrektora Pionu Handlowego SOLIDEX Bartłomieja Wilczyńskiego. Wyróżnienie to jest świadectwem wysokich kwalifikacji w zakresie sprzedaży, wdrażania i utrzymania produktów firmy F5 gwarantuje wysoką jakość nawet najbardziej skomplikowanych rozwiązań teleinformatycznych, zapewniających szybki i łatwy dostęp do portali i aplikacji. Networks, światowego lidera rozwiązań służących do optymalizacji wydajności i obciążenia aplikacji oraz sieci. Wyjątkowe zaangażowanie SOLIDEX we współpracę z firmą F5 Networks, SOLIDEX Złotym Partnerem Cisco Expo 2008 W dniach 23-24 października 2008 roku w Hotelu Best Western Mazurkas w Ożarowie odbyła się siódma edycja konferencji Cisco Expo. SOLIDEX po raz kolejny wziął udział w tym wydarzeniu jako Złoty Partner. Tegoroczna konferencja, której towarzyszy hasło „Wideo zmienia wszystko”, składała się z seminariów poświęconych zagadnieniom biznesowym oraz technicznym. W bloku sesji biznesowych zostały zaprezentowane rozwiązania szczególnie istotne w takich branżach, jak: przemysł, bankowość, hotelarstwo, nieruchomości, opieka zdrowotna oraz sektor publiczny. W trakcie sesji technicznych uczestnicy zapoznali się z szeroko pojętymi zagadnieniami bezpieczeństwa sieciowego, centrów przetwarzania danych, telefonii IP oraz sieci bezprzewodowych. Tradycyjnie wydarzeniu towarzyszyła wystawa rozwiązań telekomunikacyjnych i technicznych Cisco oraz partnerów konferencji. SOLIDEX jako firma posiadająca najwyższy status partnerski Cisco Gold Certified Partner, a jednocześnie Partner Złoty konferencji, zaprezentował interesujące wykłady teoretyczne oraz warsztaty, dotyczące następującej tematyki: •„Mechanizmy bezpieczeństwa Cisco IOS i metody ich wykorzystania” •„Sieci kratowe w oparciu o rozwiązania Cisco Systems w teorii i praktyce” •„IronPort web security (seria S) w praktyce” •„802.11n - standard, którego nie należy się obawiać”. Jak co roku, konferencja Cisco Expo obfitowała w ciekawe wykłady uzupełnione o warsztaty praktyczne, stając się okazją do wymiany cennych doświadczeń. Uczestnicy spotkania dowiedzieli się m.in. jak wykorzystać nowoczesne technologie do usprawnienia zarządzania, zwiększenia produktywności i zbudowania przewagi konkurencyjnej. Mamy nadzieję, że przygotowane przez nas prezentacje spotkały się z Państwa zainteresowaniem. Dziękujemy za liczne przybycie i aktywny udział w zadawaniu pytań naszym SOLIDnym EXpertom. INTEGRATOR REVIEW (iII/2008) 6 Wydarzenia V Seminarium SOLIDEX Dnia 30 października 2008 roku odbyło się piąte z kolei spotkanie, z cyklu „Seminaria SOLIDEX”, zatytułowane „Integracja bez tajemnic”. Tradycyjnie prezentacje poprowadzili SOLIDni EXperci wraz z Partnerami Technologicznymi, wśród których znaleźli się przedstawiciele takich firm, jak: Hewlett-Packard, Netscout Systems oraz Cisco/Ironport. Prelegenci przedstawili wykłady teoretyczne na temat: •Diody danych - zabezpieczenie styków sieci z zastosowaniem jednokierunkowej transmisji danych •Szybkość i bezpieczeństwo w zarządzaniu i monitoringu sieci •Inteligentny skaner bezpieczeństwa aplikacji WWW. •Rozwiązania zarządzania wydajnością a dostępność usług biznesowych (prezentacja w języku angielskim) Serdecznie dziękujemy za udział w naszym seminarium. Wszystkich zainteresowanych uczestnictwem w kolejnym z bezpłatnych seminariów SOLIDEX prosimy o zgłaszanie się na adres: [email protected] . •Ewolucja zagrożeń internetowych czy Twój system jest na to gotowy? »»Ochrona poczty na przykładzie rozwiązań IronPort »»Ochrona przed zagrożeniami WWW na przykładzie rozwiązań IronPort Szczegółowa agenda oraz harmonogram seminariów znajduje się na stronie: www.SOLIDEX.com.pl/251_2048.htm . SOLIDEX nominowany do tytułu „Filara Polskiej Gospodarki 2008” SOLIDEX został nominowany do tytułu „Filara Polskiej Gospodarki 2008”. Nagroda jest przyznawana przedsiębiorstwom, które zajmują wiodącą pozycję w gospodarce poszczególnych regionów, istotnych ze względu na skalę działania dla całej gospodarki narodowej. su” oraz międzynarodowa wywiadownia gospodarcza Dun and Bradstreet. Filary Polskiej Gospodarki to średnie i duże przedsiębiorstwa, które osiągają doskonałe wyniki finansowe, prowadząc działalność w sposób uczciwy i przejrzysty, a jednocześnie są wrażliwe na potrzeby społeczności lokalnej. To już piąta edycja konkursu, którego organizatorami są dziennik „Puls Bizne- Zwycięscy wyłaniani są w dwóch etapach. W pierwszym Dun and Bradstreet opracowuje listę nominowanych firm z każdego województwa na podstawie analizy wybranych wskaźników ekonomicznych oraz po określeniu poziomu moralności płatniczej przedsiębiorstwa. W drugim etapie odbywa się głosowanie za pomocą SMSów oraz przez stronę www.filary.pb.pl. W głosowaniu uczestniczą mieszkańcy regionu, organizacje biznesowe, stowarzyszenia oraz media lokalne. SOLIDEX - „Preferowany Partner HP” na rok 2009 W listopadzie 2008 roku SOLIDEX spełnił wszystkie wymagania autoryzacyjne i po raz kolejny otrzymał status „Preferowanego Partnera HP” na rok 2009. Tytuł ten potwierdza wyjątkowe zaangażowanie SOLIDEX we współpracę z HP. Przyznany status gwarantuje wysoką pozycję na rynku, a poprzez swoją unikalność udaje się go osiągnąć zaledwie pięciu procentom partnerów. Ponadto zapewnia szereg korzyści i przywilejów dla Firmy i jej Klientów zagwarantowanych w ramach programu autoryzacyjnego. Wieloletnie doświadczenie SOLIDEX we współpracy z HP zaowocowało doskonałą znajomością rozwiązań, służących do kompleksowego zarządzania systemem informatycznym: od sieci, serwerów i aplikacji, po stacje robocze i systemy bezpieczeństwa. Nasze kom- petencje potwierdzają liczne certyfikaty przyznawane co roku inżynierom i handlowcom. Niezawodne produkty firmy HP w połączeniu z zaangażowaniem SOLIDEX we współpracę a także profesjonalna kadra inżynierów i handlowców posiadających obszerną wiedzę na temat rozwiązań korporacyjnych, są najlepszą gwarancją sukcesu powierzonych nam inwestycji teleinformatycznych. © SOLIDEX, 2008 7 Nowości Urządzenia Fortinet w rozwiązaniach bezpieczeństwa dla sektora operatorskiego Celem niniejszego artykułu jest przedstawienie urządzeń z oferty firmy Fortinet ze szczególnym uwzględnieniem rozwiązań dla sektora operatorskiego. Fortinet jest pionierem i liderem na rynku systemów zabezpieczeń, posiadających sprzętowe wsparcie obsługi ruchu monitorowanego. Firma dysponuje bardzo szerokim portfolio, które jest w stanie spełnić bardzo zróżnicowane wymagania. Należy tu wyróżnić następujące linie produktów: •FortiGate - zintegrowane systemy bezpieczeństwa UTM - Unified Threat Management (FireWall, AntyWirus, AntySpam, WebFiltering, Intrusion Prevention(IPS),VPN), •FortiMail - systemy ochrony poczty elektronicznej (anty spam + anty wirus), •FortiManager - zintegrowany system zarządzania systemami bezpieczeństwa , •FortiAnalyzer - zintegrowany system raportowania. W każdej linii produktów firma Fortinet ma rozwiązania dla zróżnicowanych wymagań - od urządzeń dla sektora SMB/SOHO, przez rozwiązania dla rynku Enterprise, po urządzenia dedykowane dla rynku operatorskiego. Jak już wspomniano, systemy bezpieczeństwa Fortinet wyróżnia budowa w oparciu o dedykowane układy elektroniczne, sprzętowo wspierające obsługę ruchu - FortiASICT. W urządzeniach Fortinet stosowane są poniższe dwa układy: •NetworkASIC (NP) odpowiada za akceleracje funkcji Firewall, VPN (IPSec/ SSL), badania anomalii IPS, •ApplicationASIC (CP) wspiera moduły: Antivirus+AntiSpyware, Web Filtering, wsparcia antywirusowego dla funkcji AntiSpam, Traffic Shaping. W celu pełnego wykorzystania możliwości procesorów specjalizowanych (FortiASIC) - Fortinet stworzył dedykowany system operacyjny FortiOST, który integruje w sobie wszystkie funkcje systemów zabezpieczeń Fortinet i jednocześnie stanowi system zarządzania oraz raportowania w ramach pojedynczego urządzenia. W celu zapewnienia ochrony - producenci systemów zabezpieczeń budują dedykowane infrastruktury, które monitorują i poddają analizie ciągle pojawiające się zagrożenia w sieci Internet. Stworzona przez Fortinet - FortiGuard Network - jest właśnie taką infrastrukturą, odpowiedzialną za rozwój pakietów aktualizacyjnych dla produktów: •Anty Wirus, •Anty Spyware, •Anty Spam, •Web Filtering. W dalszej części artykułu zostaną omówione urządzenia, które mogą znaleźć zastosowanie w sieciach operatorskich lub dużych sieciach korporacyjnych. Urządzenia UTM Rys.1 Architektura urządzeń UTM firmy Fortinet Flagowym urządzeniem dedykowanym do rozwiązań o wysokich wymaganiach wydajnościowych oraz niezawodnościowych - a takie są zwykle stawiane przez sektor operatorski - jest FortiGate serii 5000. Jest to urządzenie klasy UTM o budowie modularnej, pozwalające świadczyć usługi bez- INTEGRATOR REVIEW (iII/2008) 8 Nowości pieczeństwa, takie jak: firewall, VPN, antivirus, antispam, web filtering oraz IPS. Szerokie możliwości konfiguracji pozwalają dopasować urządzenie, do zmieniających się wymagań. Jak na urządzenie dla sektora operatorskiego przystało - FortiGate serii 5000 jest zgodny ze specyfikacją ATCA - Advanced Telecommunications Computing Architecture. Dzięki budowie modularnej łatwo jest budować klastery niezawodnościowe i/lub wydajnościowe. W ramach rodziny urządzeń FortiGate serii 5000 możemy wyróżnić następujące modele: •FortiGate 5140 - 14 slotów, •FortiGate 5050 - 5 slotów, •FortiGate 5020 - 2 sloty. Jako wyposażenie do urządzeń FortiGate serii 5000 można włożyć następujące typy kart (blade’ów): Rys.9 Karta FortiGate 5003 / FortiSwitch 5003 •moduły UTM: »» FortiGate 5001SX, »» FortiGate 5001A, »» FortiGate 5001FA2, »» FortiGate 5005FA2, •moduły przełączające: »» FortiSwitch 5003A, »» FortiControler 5208. Karty FortiGate 5001SX, 5001A, 5001FA2 oraz 5005FA2 to moduły realizujące funkcjonalność UTM oraz udostępniające interfejsy sieciowe, służące do podłączania sieci chronionych przez system zabezpieczeń. Poniższe karty różnią się wydajnością, ilością i rodzajem dostępnych interfejsów sieciowych (szczegóły w tabeli nr 2, str. 12). Rys.5 Karta FortiGate 5001SX Karta FortiGate 5003 odpowiada za przełączanie ruchu w ramach całego urządzenia serii 5000 z wykorzystaniem magistrali backplane. Backplane wykorzystywany jest do przesyłania danych między pozostałymi kartami urządzenia oraz do synchronizacji w rozwiązaniach klastrowych - komunikacja HA heartbeat. Rys.10 Karta FortiControler 5208 Karta FortiControler 5208 posiada funkcjonalność analogiczną do modułu FortiGate 5003. Jest rozwiązaniem dedykowanym do budowania wysokowydajnych systemów antywirusowych i antyspamowych w oparciu o rozwiązanie UTM. Urządzenia zabezpieczające pocztę elektroniczną Rys.6 Karta FortiGate 5001A Rys.2 FortiGate 5140 Rys.7 Karta FortiGate 5001FA2 Rys.3 FortiGate 5050 Rys.8 Karta FortiGate 5005FA2 Oprócz kart realizujących funkcje UTM, w urządzeniach serii 5000 instaluje się ponadto karty przełączające. Kolejną kategorią urządzeń mających zastosowanie w sieciach operatorów oraz dużych sieciach korporacyjnych są urządzenia, zapewniające ochronę poczty elektronicznej. Fortinet zbudował dedykowaną rodzinę produktów, odpowiadającą za zabezpieczanie poczty elektronicznej - FortiMail. Rozwiązanie zbudowane jest w oparciu o unikalną platformę (podobnie jak FortiGate), składającą się ze sprzętu wyposażonego w akceleratory sprzętowe FortiASIC oraz dedykowany system operacyjny FortiOS. Urządzenia FortiMail dokonują analizy ruch SMTP i reagują na obecność spamu i wirusów. Rys.4 FortiGate 5020 © SOLIDEX, 2008 9 Nowości W trybie bramy (gateway) ruch przychodzący SMTP, zanim trafi do serwera pocztowego, jest przekazywany do urządzenia FortiMail i poddawany skanowaniu. W takim scenariuszu możliwe jest również skonfigurowanie serwera pocztowego SMTP w taki sposób, aby FortiMail był relay serwerem dla ruchu wychodzącego SMTP. Tryb serwera powoduje uruchomienie na urządzeniu FortiMail podstawowych funkcjonalności serwera pocztowego SMTP. W tym trybie dostępne są funkcjonalności tj.: Web Mail, SMTP, POP3, IMAP. Ponadto działają na serwerze funkcje: AntiSpam, AntiVirus, archiwizacji wiadomości e-mail, logowania i raportowania. Urządzenia FortiMail wykorzystują wiele technik do ochrony przed spamem. Można je podzielić na kilka kategorii, wśród których należy wymienić: Rys.11 Scenariusz wdrożenia urządzenia FortiMail Urządzenia FortiMail mogą pracować w jednym z trzech trybów: •tryb transparentny („przezroczysty”), •tryb bramy poczty elektronicznej (gateway), •tryb serwera. Najłatwiejszym w implementacji jest tryb transparentny („przezroczysty”). FortiMail w tym trybie chroni serwer poczty elektronicznej poprzez skanowanie całości ruchu SMTP wchodzą- cego i wychodzącego z/do serwera. Możliwe jest takie wdrożenie FortiMail w trybie transparentnym, które nie powoduje konieczności dokonywania zmian w dotychczasowej konfiguracji infrastruktury sieciowej. Urządzenia FortiMail są jedyną platformą na rynku, działającą w pełni transparentnie w skanowanych przesyłkach e-mail nie pozostawiają śladu skanowania przez system antyspamowy czy antywirusowy. Rys.12 Przykładowy schemat wdrożenia FortiMail w trybie transparentnym • Techniki bazujące na protokole i parametrach sesji - idealne do blokowania dużych wolumenów ruch SMTP na poziomie parametrów połączenia. Klasyfikacja dla tej techniki może opierać się między innymi na parametrach, takich jak: ilość nawiązywanych połączeń SMTP w jednostce czasu, sprawdzenie adresu adresata. • Techniki bazujące na zawartości przesyłki - przesyłki analizowane są pod kątem zawartości słów kluczowych, linków URI oraz załączników. • Techniki bazujące na reputacji nadawcy - przesyłki są klasyfikowane ze względu na „reputację” nadawcy. Parametr jest sprawdzany w bazie lokalnych reputacji oraz w globalnej bazie FortiGuard Network. Na podstawie reputacji nadawca może być umieszczany na „blacklist’ach” lub „whitelist’ach”. • Techniki bazujące na algorytmach - zawartość przesyłki skanowana na obecność zakazanych treści, załączonych obrazów lub plików PDF. • Techniki bazujące na „punktacji” - wykorzystują wiele testów (m.in. skanowanie heurystyczne) w celu „przyznania punktów” dla danego nadawcy INTEGRATOR REVIEW (iII/2008) 10 Nowości Systemy zarządzania i monitorowania Fortinet posiada w swojej ofercie dedykowane urządzenia, służące do zarządzania oraz raportowania i analizy logów. Rys.13 Przykładowy schemat wdrożenia FortiMail w trybie bramy pocztowej lub konkretnej przesyłki. Na podstawie ilości punktów podejmowane są decyzje o dalszym procesowaniu. W zależności od kierunku monitorowanego ruchu SMTP urządzenia FortiMail mogą podejmować różne akcje w stosunku do napotkanych nadużyć. Spośród rodziny FortiMail do zastosowań operatorskich można wskazać modele: •FortiMail 2000A, •FortiMail 4000A. Oba urządzenia posiadają identyczną funkcjonalność, różniąc się nieznacznie wydajnością, ilością interfejsów siecio- wych oraz pojemnością twardych dysków (szczegóły w tabeli nr 3, str. 13). Skalowalność rozwiązania jest liniowa. Zwiększanie wydajności systemu uzyskuje się przez wdrażanie infrastruktury złożonej z urządzeń odpowiedzialnych za balansowanie ruchu (load balancery) oraz odpowiedniej ilości urządzeń FortiMail. Zwykle stosuje się scenariusze zawierające N+M urządzeń, gdzie N to ilość urządzeń niezbędnych do świadczenia usługi, M to ilość urządzeń nadmiarowych. Tego typu wdrożenia oprócz skalowalności zapewniają również nadmiarowość. FortiManager - jest platformą dedykowaną do zarządzania urządzeniami systemów bezpieczeństwa Fortinet. Dla każdej instalacji można znaleźć odpowiednio wydajny model urządzenia (tabela nr 4). Za pomocą FortiManagera można konfigurować urządzenia FortiGate, zarządzać uaktualnieniami i update’ami, monitorować status urządzeń oraz generować podstawowe raporty. Ponadto FortiManger zapewnia możliwość definiowania polityk dla agentów FortiClient. Urządzenia FortiManager 100 i 400A są dedykowane dla małych instalacji, nie wspierają urządzeń klasy FortiGate 5000. W przypadku rozwiązań operatorskich w grę wchodzą urządzenia FortiManager 3000 i 3000B. W łatwy sposób platformę FortiManager można zintegrować z systemem raportowania i analizy logów - Fortinet FortiAnalyzer. FortiAnalyzer - platforma dedykowana do zbierania logów, poddawania ich analizie i generowania raportów. Umożliwia także zarządzanie bezpieczeństwem w postaci: kwarantanny, archiwizowania zawartości, korelacji zdarzeń, oceny podatności oraz badania ruchu sieciowego. W zależności od wielkości instalacji można dobrać odpowiedni model urządzenia (tabela nr 5). Rys.14 Standardowe akcje podejmowane względem ruchu SMTP Podobnie jak w przypadku FortiManagera najmniejsze urządzenia FortiAnalyzer 100B i 800B są dedykowane dla małych instalacji i nie wspierają urządzeń klasy FortiGate 5000. W przypadku rozwiązań operatorskich w grę wchodzą urządzenia FortiAnalyzer 2000A i 4000A. © SOLIDEX, 2008 11 Nowości FortiGate 5020 FortiGate 5050 FortiGate 5140 Ilość dostępnych slotów 2 5 14 Ilość modułów przełączających max 1 max 2 max 2 Max wydajność FW 26 Gbps 65 Gbps 182 Gbps Max wydajność VPN (IPSec) 14 Gbps 35 Gbps 98 Gbps Ilość sesji konkurencyjnych do 4 000 000 do 10 000 000 do 28 000 000 Tab.1 Podstawowe parametry platformy FortiGate 5000 Ilość portów SFP FortiGate 5001A FortiGate 5001SX FortiGate 5001FA2 FortiGate 5005FA2 10x 1 GbE - SFP z ADM-FB8 lub 2x 10GbE - XFP z ADM-XB2 4 4 8 Ilość portów 10/100/1000 BaseT 2 4 4 0 Ilość sesji konkurencyjnych 2 000 000 1 000 000 1 000 000 1 000 000 Ilość nowych sesji / sek 50 000 20 000 20 000 30 000 Wydajność FW 2 Gbps / do 13 Gbps z ADM-XB2 4 Gbps 4 Gbps 5 Gbps Wydajność VPN (IPSec) 800 Mbps / do 7 Gbps z modułem ADM 600 Mbps 600 Mbps 800 Mbps Max ilość terminowanych tuneli VPN 64 000 10 000 10 000 64 000 Wydajność IPS 2 Gbps / 4 Gbps z modułem ADM 2 Gbps 2 Gbps 3 Gbps Wydajność AntiVirus 500 Mbps 200 Mbps 200 Mbps 300 Mbps Max ilość polityk 100 000 100 000 100 000 100 000 FortiSwitch 5003 FortiControler 5208 Ilość portów SFP 0 8+2x 10 GbE (XFP) Ilość portów 10/100/1000BaseT 3 + 1 (zarządzanie) 1 (zarządzanie) FortiMail 2000A FortiMail 4000A Tab.2 Parametry kart FortiGate serii 5000 Ilość portów 10/100/1000BaseT 4 2 Pojemność całkowita wbudowanych HDD 1,5 TB 3,0 TB - ruting poczty 331 200 345 600 - AntiSpam 288 000 302 400 - AntiSpam + AntiVirus 280 800 295 200 Wydajność (wiadomości e-mail/h): Tab.3 Parametry urządzeń FortiMail 2000A i 4000A FortiManager 100 FortiManager 4000A FortiManager 3000 FortiManager 3000B Ilość zarządzanych urządzeń FortiGate 10 200 500 4000 Ilość wspieranych agentów FortiClient 2 500 10 000 25 000 100 000 FortiAnalyzer 100B FortiAnalyzer 800B FortiAnalyzer 2000A FortiAnalyzer 4000A Ilość zarządzanych urządzeń FortiGate 10 250 500 700 Ilość zarządzanych urządzeń FortiMail 50 100 200 200 Tab.4 Parametry urządzeń FortiManager Bartłomiej Rossa Inżynier Konsultant Tab.5 Parametry urządzeń ForiAnalyzer INTEGRATOR REVIEW (iII/2008) 12 Nowości IT w służbie procesów biznesowych W obecnych realiach rynkowych rozwój przedsiębiorstwa wymaga zaawansowanych narzędzi wspomagających procesy biznesowe. Zdecydowana większość z nich jest możliwa do zrealizowania dzięki nowoczesnej technice oraz coraz nowszym, obszerniejszym, bardziej wymagającym aplikacjom. Wzrastający zakres ich skomplikowania nakłada coraz większe wymagania na ich jakość, nie tylko z punktu widzenia podstawowych elementów, ale jako rozwiązania kompleksowego. Tempo rozwoju przedsiębiorstwa jest zatem zależne między innymi od tego, jak i czy sprawnie działa system teleinformatyczny, czy jest rozwijany w tempie, w jakim rośnie organizacja oraz czy jego rozwój jest ukierunkowany zgodnie z wymaganiami przedstawionymi przez biznes. Dlatego też niezbędne jest dopasowanie IT do biznesu w postaci zrozumienia przez IT potrzeb biznesowych, stworzenia i zarządzania projektami, zrozumienia wpływu usług na potrzeby biznesowe, automatyzowania procesów i obniżania kosztów. Coraz częściej dział IT przestaje być traktowany jako jednostka podległa, a staje się usługodawcą, od którego wymaga się zachowania wysokich parametrów jakościowych. W tym celu pracownicy muszą mieć do dyspozycji zbiór narzędzi, umożliwiający im ścisłą współpracę i wymianę danych. Oprogramowanie z rodziny HP Software pozwala spojrzeć na dział IT w sposób całościowy, tzn. dostępne są narzędzia wspomagające prace działu już na etapach projektowych, przez testy wdrożenia aż po utrzymywanie żywego systemu, pokrywające wyżej przestawiony zakres inicjatyw. Niżej przedstawione składowe systemów zarządzania są grupami aplikacji, których funkcje pozwolą na zarządzania infrastrukturą w zakładanym zakresie. Strategia Pierwsza grupa produktów zawiera zestaw narzędzi niezbędnych dyrektorowi IT, który pozwoli mu w sposób optymalny zarządzać projektami. Jest to zestaw aplikacji/modułów w grupach Project and Portfolio Management Center oraz SOA Center. W skład grup 'IPFM^RIWS[] -RMGNEX][]H]V-8 (STEWS[ERMI FM^RIWYM-8 >EV^H^ERMI NEOSzGMETPMOEGNM >EV^H^ERMI YWYKEQM >EV^H^ERMI (EXE'IRXIV 7^G^IKÐ] >EV^H^ERMITVSNIOXEQM MJMRERWEQM ;TVS[EH^ERMIRS[]GL ETPMOEGNMMYTKVEHIqÐ[ >EV^H^ERMI[]QEKERMEQM MMGL[EPMHEGN >EV^H^ERMINEOSzGM WXERHEV]^EGNETVSGIWY MTVSHYOXÐ[ >EV^H^ERMIYWYKEQM-8 &71 'IRXVEOSQTIXIRG]NRI >EV^H^ERMI^QMER OSRJMKYVEGNM[]HERMIQ &71 %YXSQEX]^EGNE(EXE'IRXIV /SRWSPMHEGNE(EXE'IRXIV &I^TMIG^IÎWX[SM^KSHRSzà /SRWSPMHEGNEETPMOEGNM /SRWSPMHEGNEW]WXIQÐ[ ^EV^H^ERME Rys.1 Zakres inicjatyw jaki przybliżają IT do biznesu, tak aby zapewnić odpowiedni poziom jakości aplikacji, wsparcia serwisowego oraz zarządzania danymi wchodzą moduły aplikacyjne, pozwalające na pełne zarządzanie w czasie rzeczywistym, takimi elementami jak: •portfolio projektów, •finanse, •zasoby, •zależności pomiędzy infrastrukturą i aplikacjami, •priorytety, •realizacja. Posiadając dokładną i przede wszystkim aktualną wiedzę na temat prowadzonych inicjatyw, dyrektor IT będzie mógł w sposób optymalny reagować, na dynamicznie zmieniające się potrzeby biznesowe i dopasowywać strukturę IT do nich. Aplikacje Kolejna grupa produktów to narzędzia wspomagające procesy realizacji projektów poprzez zarządzanie aspektami jakościowymi, wydajnościowymi oraz bezpieczeństwa tworzonych aplikacji. Quality Center to grupa aplikacji wspomagających zagadnienia z zakresu testowania. Dzięki nim możliwe jest przeprowadzenie zautomatyzowanych testów aplikacji pod kątem poprawności technicznej oraz zgodności z wymaganiami biznesowymi. Zastosowanie Quality Center pozwala na znaczne obniżenie kosztów, związanych z wdrożeniem, dzięki możliwości wychwytywania błędów już na poziomie testów, a nawet na etapie założeń. Powtarzalność testów pozwala na obiektywną ocenę jakości poprawek. Automatyzacja powoduje znacznie mniejsze zaangażowanie zasobów, a co za tym idzie pracownicy firmy mają więcej czasu na pracę nad rozwojem systemu. © SOLIDEX, 2008 13 Nowości &YWMRIWWSYXGSQIW 786%8)+= %440-'%8-327 5YEPMX] 1EREKIQIRX 4VSNIGX 4SVXJSPMS 1EREKIQIRX 'IRXIV '-33JJMGI 73% 'IRXIV '833JJMGI 5YEPMX] 'IRXIV 4IVJSVQERGI 'IRXIV %TTPMGEXMSR 7IGYVMX]'IRXIV 34)6%8-327 &YWMRIWW7IVZMGI 1EREKIQIRX &YWMRIWW7IVZMGI %YXSQEXMSR -87IVZMGI 1EREKIQIRX 3TIVEXMSRW3VGLIWXVEXMSR &YWMRIWW %ZEMPEFMPMX] 'IRXIV 'PMIRX %YXSQEXMSR 'IRXIV 3TIVEXMSRW 'IRXIV 2IX[SVO 1EREKIQIRX 'IRXIV (EXE'IRXIV %YXSQEXMSR 'IRXIV 7IVZMGI 1EREKIQIRX 'IRXIV 9RMZIVWEP'1(& 7%43VEGPI73%.))2IX Rys.2 Portfolio produktów HP Software z podziałem na grupy funkcjonalne Poprawność działania aplikacji z technicznego oraz biznesowego punktu widzenia nie gwarantuje sukcesu podczas implementacji w środowisku produkcyjnym, ze względu na brak testów wydajnościowych. Rozwiązaniem problemu jest zastosowanie aplikacji z grupy Performance Center. Posiadają one możliwości symulacji użytkowników oraz zabierają i raportują informacje o wydajności poszczególnych elementów, identyfikując wąskie gar- zaawansowane mechanizmy oparte o technologię Web 2.0, umożliwiają wykrycie słabości niemożliwych do identyfikacji przez tradycyjne skanery. Działanie Ostatnią a jednocześnie najszerszą grupą produktów są rozwiązania dedykowane do zarządzania i monitorowania już działających rozwiązań z zakresu aplikacji, poszczególnych podsyste- Każde przedsiębiorstwo jest inne. Jednak zależność pomiędzy sprawnym systemem teleinformatycznym a biznesem - we wszystkich jest taka sama, dlatego trzeba dopasować do niego system IT. dła. Dzięki możliwości symulacji setek, a nawet tysięcy użytkowników, możliwe jest wczesne wykrycie problemów, związanych ze skalowalnością aplikacji i usunięcie ich już na poziomie testów. Nie bez znaczenia jest również bezpieczeństwo systemu. Aplikacje z grupy Security Center pozwalają na automatyczne testowanie w poszukiwaniu błędów bezpieczeństwa. Dostępne moduł pozwalają na wykonywanie testów już na poziomie prac nad aplikacją, pozwalając na uniknięcie olbrzymich kosztów związanych z wprowadzaniem zmian na etapie produkcyjnym. Ponadto mów, infrastruktury sieciowej oraz użytkowników. Business Availability Center, Operations Center oraz Network Management Center to obszerny zbiór aplikacji oraz modułów umożliwiających monitorowanie systemów pod kątem istotności dla procesów biznesowych, dostępności pojedynczych usług, a także stanu fizycznych elementów infrastruktury sieciowej. Aplikacje dostępne w wymienionych zbiorach pozwalają na monitorowanie elementów infrastruktury IT, pod kątem wydajności w kontekście wpływu na wewnętrznych i zewnętrznych Klientów, z możliwością dogłębnej analizy problemu aż do pojedynczych elementów, jak baza danych czy nawet dostępność pamięci. Dostępne są możliwości monitorowania infrastruktury z poziomu pojedynczego urządzenia sieciowego, jak i całej usługi w relacji end-to-end. Całość uzupełniają moduły generujące raporty z niemal dowolnych monitorowanych parametrów, dzięki którym możliwa jest prosta analiza infrastruktury pod kątem przyszłych potrzeb, a co za tym idzie precyzyjne wytyczne do przyszłych projektów i priorytety pomiędzy nimi. Elementami uzupełniającymi zarządzanie infrastrukturą są aplikacje dedykowane dla pomocy końcowym użytkownikom. Data Center Automation Center to zestaw aplikacji, których zadaniem jest zarządzanie w sposób możliwie automatyczny wszystkimi aspektami w Data Center, wliczając w to urządzenia sieciowe, serwery, macierze dyskowe, biblioteki taśmowe i aplikacje. Natomiast Service Management Center udostępni wydajne narzędzia do raportowania, analizowania oraz zarządzania kompetencjami. Ponadto aplikacja ta umożliwia szczegółowe zarządzania infrastrukturą fizyczną w zakresie inwentaryzacji sprzętu i oprogramowania. Jak sprostać wymaganiom biznesu? Każde przedsiębiorstwo jest inne. Jednak zależność pomiędzy sprawnym systemem teleinformatycznym a biznesem - we wszystkich jest taka sama, dlatego trzeba dopasować do niego system IT. Aby to zrobić, konieczny jest zestaw narzędzi, umożliwiający szerokie a jednocześnie bardzo szczegółowe spojrzenie na całość infrastruktury, do czego niezbędny będzie zestaw narzędzi przedstawiony powyżej. Krzysztof Lembas Kierownik Zespołu Konsultantów INTEGRATOR REVIEW (iII/2008) 14 Nowości Innowacja w zabezpieczeniu danych – Cisco GET VPN Dzisiejsze aplikacje sieciowe bazujące na transmisji głosu oraz obrazu, przyspieszają potrzebę projektowania rozległych sieci WAN, umożliwiających bezpośrednią komunikację pomiędzy oddziałami danego przedsiębiorstwa oraz zapewnieniem odpowiedniego poziomu jakości przesyłanego ruchu (QoS - Quality of Service). Rozproszona natura w/w aplikacji wpływa na zwiększoną potrzebę skalowalności projektowanych rozwiązań. Współczesne przedsiębiorstwa oczekują od technologii sieci rozległych WAN kompromisu pomiędzy zapewnieniem odpowiedniej jakości transmisji danych a zagwarantowaniem bezpieczeństwa przesyłanych informacji. W miarę, gdy wzrasta potrzeba zabezpieczenia przekazywanych danych, niekiedy wręcz narzucana odgórnymi przepisami (banki, instytucje rządowe), Cisco® GET (Group Encrypted Transport) VPN eliminuje konieczność określania kompromisu pomiędzy inte- ligentną siecią oraz bezpieczeństwem transportu danych. Wraz z wprowadzeniem technologii GET, Cisco® oferuje nową kategorię sieci VPN – tunnel-less VPN, która eliminuje konieczność zestawiania tuneli punkt-punkt pomiędzy poszczególnymi oddziałami danego przedsiębiorstwa. GET VPN oferuje nowy standard modelu bezpieczeństwa, bazujący na koncepcji „zaufanych” członków zdefiniowanej grupy. Poprzez zastosowanie metody zaufanych grup, uzyskujemy możliwość projektowania skalowalnych i bezpiecznych sieci przy jednoczesnym zachowaniu jej inteligentnych właściwości (tj. QoS, routing oraz multicast), krytycznych dla jakości połączeń głosowych oraz wizyjnych. GET VPN umożliwia bezpieczne przesyłanie danych w różnorodnych środowiskach WAN (IP, MPLS) bez potrzeby tworzenia kanałów point-to-point (P2P), minimalizując tym samym opóźnienia transmisji głosu oraz wideo. GET ułatwia zabezpieczanie dużych sieci L2 oraz MPLS, które wymagają częściowej (partial) lub całkowitej (fullmesh) siatki połączeń pomiędzy urządzeniami brzegowymi poszczególnych oddziałów danego przedsiębiorstwa. Sieci MPLS VPN, wykorzystujące ten rodzaj ekrypcji, są sieciami wysoko skalowalnymi, łatwo zarządzanymi oraz spełniającymi narzucone przez rząd wymagania, dotyczące szyfrowania. Rys.1 Porównanie właściwości sieci zbudowanej w oparciu o standardowe połączenia punkt-punkt IPSec oraz technologię GET VPN Elastyczna natura technologii GET umożliwia świadomym bezpieczeństwa przedsiębiorstwom, zarówno zarządzanie politykami bezpieczeństwa swojej sieci WAN, jak również przekaza- © SOLIDEX, 2008 15 Nowości nie usługi szyfrowania do ich własnych operatorów telekomunikacyjnych SP (Service Provider). Kluczowe właściwości technologii GET VPN Poniżej zaprezentowano kilka kluczowych właściwości technologii GET VPN. GDOI (Group Domain Of Interpretation) - protokół zarządzania kluczami, odpowiedzialny za ustanawianie wspólnej polityki bezpieczeństwa (IPSec SA) pomiędzy routerami będącymi członkami tej samej „zaufanej” grupy. Centralny serwer kluczy (Key Server) – router odpowiedzialny za: •rozsyłanie kluczy bezpieczeństwa oraz cykliczne ich odnawianie (wysyłanie nowych przed wygaśnięciem starych), •dystrybucję polityk bezpieczeństwa do grona routerów będących członkami tej samej zaufanej grupy. Architektura GET VPN GET VPN składa się z trzech komponentów: •protokołu zarządzania oraz dystrybucji kluczy (GDOI), •serwera kluczy (key server), •członków zdefiniowanych w ramach GDOI grup (group members). GET VPN jest zaawansowanym rozwiązaniem, umożliwiającym grupową (multicast rekeying) oraz pojedynczą (unicast rekeying) dystrybucję kluczy poprzez prywatną sieć WAN. Multicast rekeying oraz GET VPN bazują na protokole GDOI zdefiniowanym przez grupę IETF zgodnym ze specyfikacją RFC 3547. GET VPN łączy w sobie zalety protokołów GDOI oraz IPSec w celu zapewnienia efektywnego sposobu szyfrowania ruchu IP typu multicast oraz unicast. która wyjaśnia, w jaki sposób jednostki używać będą systemów zabezpieczeń do bezpiecznej komunikacji. Group Member Członkowie danej grupy rejestrują się do centralnego serwera (key server) w celu otrzymania odpowiednich polityk bezpieczeństwa zawartych w IPSec SA, koniecznych do określenia sposobu komunikacji z pozostałymi członkami określonej grupy. Router wysyła do centralnego serwera identyfikator group ID – numer grupy, do której chciałby przystąpić. Serwer, w ramach odpowiedzi, wysyła do danego routera zdefiniowane dla żądanej grupy polityki bezpieczeństwa oraz klucze, umożliwiające poprawną i bezpieczną komunikację z pozostałymi członkami danej domeny. GET VPN jest wyposażony w mechanizm okresowej zmiany kluczy (rekey messages), centralny serwer zaś jest IP Header Preservation – zachowanie oryginalnego nagłówka IP na zewnątrz pakietu IPSec. Redundancja Centralnego Serwera kluczy (Cooperative Key Server) – możliwość implementacji do 8 serwerów kluczy w ramach jednej domeny. Baza danych głównego routera, zawierająca klucze oraz polityki bezpieczeństwa, synchronizowana z pozostałymi, zapasowymi serwerami kluczy. Wsparcie dla właściwości typu „antireplay” – funkcjonalność zabezpieczająca sieć przed atakami typu „man-in-themiddle”. Wsparcie dla szyfrowania – możliwość stosowania algorytmów szyfrowania, takich jak: DES (Data Encryption Standard), 3DES (Triple DES) oraz AES (Advanced Encryption Standard). Rys.2 Koncepcja technologii GET VPN oraz relacje pomiędzy poszczególnymi jej elementami GDOI (Group Domain Of Interpretation) GDOI zasadniczo pełni rolę protokołu zarządzania oraz dystrybucji kluczy. Operuje on pomiędzy członkami grupy a serwerem kluczy (GCKS - Group Controller or Key Server), odpowiedzialnym za tworzenie logicznych połączeń (IPSec SA) między uwierzytelnioną grupą urządzeń, należących do jednej zaufanej strefy. Security Association (SA) jest relacją pomiędzy dwoma lub więcej jednostkami, odpowiedzialny za dostarczanie nowych kluczy (przed wygaśnięciem starych) do wszystkim członków grupy. Członkowie danej grupy zapewniają usługi szyfrowania jedynie dla interesującego ich ruchu (ruch, który jest przeznaczony do zaszyfrowania/zabezpieczenia przez protokół IPSec). Key Server Centralny serwer odpowiedzialny jest za utrzymywanie polityk bezpieczeństwa, tworzenie oraz zarządzanie kluczami danej grupy. Komunikacja INTEGRATOR REVIEW (iII/2008) 16 Nowości ma gwarantować, iż członkowie określonej grupy są w ciągłym posiadaniu ważnych kluczy. Rys.3 Przepływ komunikacji wymagany w celu możliwości rejestracji nowego członka do zdefiniowanej uprzednio grupy pomiędzy serwerem a członkami zaufanego grona jest komunikacją zaszyfrowaną. Występują dwa rodzaje kluczy bezpieczeństwa, jakimi posługuje się centralny router: •Key Encryption Key (KEK), •Traffic Encryption Key (TEK). KEK jest odpowiedzialny za szyfrowanie wiadomości mechanizmów okresowej zmiany kluczy (rekey messages). Klucz TEK jest dystrybuowany do wszystkich członków danej strefy. TEK (IPSec SA) jest wykorzystywany w celu umożliwienia bezpiecznej komunikacji pomiędzy wszystkimi członkami danej grupy. dokonuje autentykacji oraz autoryzacji członków, a następnie rozsyła polityki IPSec oraz odpowiednie klucze konieczne do szyfrowania/deszyfrowania multicastowych pakietów IP. 2. Członkowie grupy wymieniają między sobą ruch multicastowy, zaszyfrowany uprzednio przy użyciu protokołu IPSec. 3. W razie potrzeby serwer kluczy „wypycha” wiadomość „rekey message” do wszystkich członków grupy. Wiadomość ta zawiera nowe polityki protokołu IPSec oraz klucze, jakie zostaną użyte w przypadku, gdy „stare” IPSec SA ulegną przedawnieniu. Stosowanie mechanizmu okresowej zmiany kluczy Centralny serwer przechowuje tablice, zawierającą adresy IP wszystkich członków utworzonych na serwerze grup. W momencie rejestracji nowego członka danej strefy, key server dodaje jego adres IP do tablicy, zawierającej adresy pozostałych członków zaufanej domeny, z którymi ten router zamierza nawiązać bezpieczną komunikację. Dzięki temu serwer kluczy posiada możliwość monitorowania stanu wszystkich aktywnych członków zdefiniowanych grup. Jeden router może być członkiem wielu grup. GET VPN Header preservation Rysunek nr 5 przedstawia porównanie sposobu działania szyfrowania danych za pośrednictwem standardowej metody trybu tunelowego IPSec oraz metody header preservation stosowanej przez GET VPN. W trybie tunelowym oryginalny datagram wejściowy IP jest w całości kodowany do nowego pakietu IP. Źródłowy router szyfruje pakiety i wysyła je wzdłuż tunelu IPSec. Router docelowy deszyfruje oryginalny datagram IP i przesyła go do docelowego miejsca w systemie. Tym sposobem także oryginalny nagłówek IP - a nie tylko segment danych - podlega ochronie IPSec. Domyślnie żywotność (lifetime) kluczy KEK oraz TEK wynosi 86400 sekund (24h). Wartości te są konfigurowane jedynie na centralnym serwerze. Zalecane jest, aby wartość parametru lifetime klucza KEK była trzykrotnie większa niż wartość tego samego parametru klucza TEK. Klucze KEK oraz TEK mogą być dystrybuowane przy wykorzystaniu technologii multicastowych, jak i unicastowych. 1. Członkowie grupy rejestrują się do centralnego serwera. Serwer kluczy Rys.4 Przepływ komunikacji pomiędzy serwerem kluczy a członkami jednej domeny © SOLIDEX, 2008 17 Nowości czeństwa do każdego zarejestrowanego członka. Dzięki temu uzyskujemy możliwość rozłożenia zapytań GDOI (load balancing) do wszystkich key serwerów, ponieważ każdy serwer świadczy usługi zarejestrowanym w swojej bazie członkom grupy. Rys.5 Porównanie szyfrowania Tunnel-mode IPSec oraz GET VPN Tryb tunelowy stanowi podstawę dedykowanych VPN’ów pomiędzy urządzeniami typu security gateways. GET VPN wykorzystuje natomiast technikę zwaną IP header preservation – zachowanie oryginalnego nagłówka IP. Oznacza to, iż pakiety chronione protokołem IPSec zawierają w zewnętrznym nagłówku IP oryginalny adres nadawcy oraz adresata - zamiast adresów urządzeń brzegowych, na których terminowany byłby tunel IPSec (jak to ma miejsce w standardowym trybie IPSec Tunnel Mode). Zachowanie oryginalnych adresów IP w pełni umożliwia technologii GET VPN wykorzystanie funkcjonalności protokołów routingu, występujących w sieciach rdzeniowych, zarówno operatorów telekomunikacyjnych, jak i wielu współczesnych przedsiębiorstw. Technika ta daje możliwość dostarczenia pakietów do dowolnego urządzenia brzegowego w sieci, które rozgłasza daną trasę do adresu docelowego. Każdy nadawca oraz adresat odpowiadający zdefiniowanym dla danej grupy politykom bezpieczeństwa, będzie traktowany w identyczny sposób. W przypadku, gdy połączenie pomiędzy dwoma końcówkami tunelu IPSec będzie niedostępne, technika header preservation pomaga również zapobiegać sytuacji powstawania tzw. czarnych dziur („black hole”). Ponadto wykorzystanie techniki zachowania oryginalnego nagłówka IP pozwala również dziedziczyć właściwości QoS oraz multicast autentycznego pakietu IP. Technika header preservation zachowuje ciągłość routingu w całej przestrzeni adresacji IP sieci WAN danego przedsiębiorstwa. Innymi słowy adres IP użytkownika końcowego jest widoczny w całej sieci WAN (w przypadku sieci MPLS kwestia odnosi się do urządzeń brzegowych CE). W związku z powyższym stosowanie technologii GET VPN jest właściwe jedynie, gdy sieci rozległe pełnią rolę sieci „prywatnych” (np. w sieciach MPLS). W przypadku sieci WAN, zbudowanych w oparciu o sieć Internet, wymagane jest użycie GET VPN wraz z technologią DMVPN (Dynamic Multipoint VPN) ze względu na stosowanie publicznej adresacji IP. Niezawodność oraz redundancja Rys.6 Zastosowanie redundancji serwera centralnego w sieci GET VPN GET VPN umożliwia budowę sieci, w której występować może więcej niż jeden key server. Zastosowanie wielu serwerów kluczy w ramach jednej domeny zapewnia wysoki poziom dostępności oraz szybki czas odtworzenia topologii sieci w przypadku, gdy główny serwer zostanie uszkodzony. Każdy serwer w ramach jednej grupy dystrybuuje spójną politykę bezpie- Główny serwer kluczy jest odpowiedzialny za tworzenie oraz dystrybucję polityk bezpieczeństwa do wszystkich grup. Serwer ten, w celu podtrzymania synchronizacji, cyklicznie wysyła informacje o grupach do każdego z pozostałych zapasowych key serwerów. Jeżeli redundantne serwery nie otrzymają cykliczne wysyłanej aktualizacji, wówczas kontaktują się one z serwerem głównym, z prośbą o ponowne rozesłanie brakujących danych o topologii sieci GET VPN. Zapasowe serwery traktują serwer główny za nieosiągalny („dead”), jeżeli nie otrzymają w/w aktualizacji w określonym przedziale czasu. W momencie, gdy na serwerze głównym zostaną utworzone nowe polityki bezpieczeństwa, bez względu na to, do którego serwera kluczy dany członek grupy został zarejestrowany, serwer główny jest odpowiedzialny za rozesłanie nowych kluczy (rekey messages) do wszystkich członków grupy GDOI. Każdy serwer posiada swój własny priorytet. Wartość ta jest konfigurowana przy użyciu interfejsu CLI (Command Line Interface) routera. Serwer kluczy z najwyższym priorytetem staje się serwerem głównym. W przypadku, gdy wartość priorytetów wszystkich key serwerów jest taka sama, wówczas router z najwyższym adresem IP zostaje wybrany nadrzędną jednostką w strukturze. Różnice pomiędzy DMVPN oraz GET VPN Wielu Klientów wierzy, iż DMVPN oraz GET VPN są rywalizującymi ze sobą technologiami. Oczywiście nie jest to prawdą. Dynamic Multipoint VPN oraz Group Encrypted Transport są uzupełniającymi się technologiami Cisco. GET INTEGRATOR REVIEW (iII/2008) 18 Nowości VPN może być lekarstwem na występowanie dużych opóźnień w przypadku implementacji usług głosowych oraz wizyjnych w sieciach VPN zbudowanych w oparciu o tunele IPSec P2P. DMVPN umożliwia budowę topologii typu spoke-to-hub oraz spoke-to-spoke przy zastosowaniu protokołu multipoint GRE (mGRE) oraz funkcji NHRP (Next Hop Resolution Protocol). Dla połączeń typu spoke-to-spoke, router chcący nawiązać połączenie, musi wysłać do jednostki centralnej (hub) zapytanie rozwiązania NHRP w celu zestawienia tunelu z żądanym routerem typu spoke. Zanim zostanie zbudowany dynamiczny tunel, cały ruch jest przesyłany poprzez lokalizację typu hub. Zestawianie tuneli DMVPN typu spoke-to-spoke może być powolne, ze względu na zapytania NHRP do routera lokalizacji centralnej. W celu otrzymania odpowiedzi ze strony adresata, ta sama procedura jest inicjowana przez destination spoke, zwiększając tym samym sumaryczne opóźnienie. Poprzez zastosowanie rozwiązania Cisco GET VPN, opóźnienie spowodowane negocjacją tuneli IPSec jest eliminowane ze względu na to, iż połączenia pomiędzy lokalizacjami można uważać za statyczne. Dostępność platform Poniżej tabela uwzględniająca urządzenia Cisco, na których istnieje możliwość uruchomienia funkcjonalności GET VPN. IOS Advanced Security 12.4(15)T jest najniższą rekomendowaną przez producenta wersją oprogramowania na wskazane platformy warstwy trzeciej. Tab. 1 IOS Platform Support Kto i kiedy powinien być zainteresowany technologią GET VPN ? Klienci zainteresowani wdrożeniem rozwiązań VPN dla topologii hub-andspoke mogą wdrożyć rozwiązania połączeń tunelowych: Implementacją technologii Cisco GET VPN powinni być zainteresowani Klienci, oczekujący szyfrowania przesyłanych danych: •poprzez tradycyjne sieci WAN, ale nie budowane w oparciu o publiczną sieć Internet, •typu punkt-punkt IPSec, •Cisco Enhanced Easy VPN z virtual tunnel interfaces (VTIs), •Cisco Dynamic Multipoint VPN (DMVPN). •przy konieczności zachowania wykorzystywanych w firmie aplikacji, pracujących w oparciu o technologię mulicastową oraz dynamiczny routing, Klienci potrzebujący połączeń typu partial-mesh, spoke-to-spoke VPN, powinni wdrożyć rozwiązanie DMVPN wraz z GET VPN. Identyczna rekomendacja związana jest z budową sieci, umożliwiających realizację ruchu typu multicast oraz możliwość realizacji dynamicznych protokołów routingu poprzez sieć publiczną Internet. •poprzez sieci IP MPLS. Marek Mews Inżynier Konsultant © SOLIDEX, 2008 19 technologie Świat technologii Cisco Unified Communications 7.0 Świat technologii związanych z wymianą informacji podlega ciągłej ewolucji. Pojawiają się nowe wersje obecnych na rynku produktów oraz zupełnie nowe rozwiązania, spełniające wymagania i oczekiwania Klientów. Wraz z rozwojem systemów Unified Communications firmy Cisco Systems daje się zauważyć pewne tendencje, które pokazują, w jakim kierunku zmierza obecnie świat w zakresie rozwiązań komunikacyjnych. Poniższy artykuł opisuje główne zmiany oraz nowości, jakie znalazły się w ofercie firmy Cisco Systems wraz z odsłoną najnowszej wersji 7.0. Nie rewolucja lecz ewolucja - czyli Cisco Unified Communications Manager 7.0 System CallManager a obecnie Communications Manager zdążył na dobre zadomowić się na rynku rozwiązań telefonii IP. Firma Cisco prezentując swoje rozwiązanie, stawia na harmonijny rozwój i zwiększanie niezawodności oraz funkcjonalności swojego produktu. Obecna wersja systemu wynika wprost z wersji 6.x, wprowadza jednak sporo zmian oraz usprawnień zarówno we „wnętrzu” systemu, jak i od strony czysto funkcjonalnej. Główne zmiany w architekturze systemu to: •nowa wersja systemu operacyjnego, •zmiany w strukturze bazy danych, •kompresja plików (trace’y). Wszystkie wyżej wymienione usprawnienia mają za zadanie podnieść wydajność aplikacji. Zmiany wprowadzone w strukturach baz danych pozwoliły na zmniejszenie wymagań, dotyczących pamięci operacyjnej. Nowe funkcje w systemie Rozwój rynku stawia przed producentami wymaganie ciągłej modyfikacji produktów oraz wprowadzania nowych usług. Firma Cisco Systems zaimplementowała w najnowszej wersji Communications Managera 7.0 całą gamę nowych funkcji, które zostały wymienione poniżej. Local Route Groups Dla instalacji, w których uruchamiamy więcej niż jedną lokalizację, wdrożenie planu numeracyjnego zaczyna stawać się czasochłonnym i uciążliwym zadaniem. Sytuacja taka jest szczególnie mocno zauważalna - w przypadku dużej liczby lokalizacji z rozproszonym stykiem z publiczną siecią telefoniczną (gateway’e w każdej z lokalizacji). Wów- tions Manager potrafi rozpoznać i obsłużyć znak „+”, co znacząco podnosi komfort obsługi numerów zapisanych w standardowym formacie E.164. Intelligent Bridge Selection Wprowadzona funkcja pozwala systemowi na „inteligentny” wybór mostka z listy MRGL. Ponadto daje możliwość oszczędzenia zasobów wideo w sytuacji, gdy Świat technologii związanych z wymianą informacji podlega ciągłej ewolucji. Pojawiają się nowe wersje obecnych na rynku produktów oraz zupełnie nowe rozwiązania, spełniające wymagania oraz oczekiwania Klientów. czas użycie Local Route Group pozwala w znacznym stopniu uprościć budowę planu numeracyjnego (CSS, Partycje). Local Router Group przypisywany jest do Device Pool’i, co pozwala Unified Communications Manager’owi traktować gateway’e bardziej jak serwis, a tym samym przyczynia się do zmniejszenia liczby niezbędnych route pattern’ów partycji oraz CSS. Wsparcie dla symbolu „+” i pełna obsługa numerów w standardzie E.164 Integracja z innymi systemami oraz potrzeba uproszczenia planu numeracyjnego zaowocowała zaimplementowaniem obsługi znaku „+” w planie numeracyjnym. Obecnie Communica- któryś z uczestników nie posiada możliwości transmitowania strumienia wideo. Mobility ToD Routing Dostępna we wcześniejszej wersji funkcjonalność Mobility (Single Number Reach) została wzbogacona o możliwość modelowania jej działania (zezwolenie lub nie - na dzwonienie do określonej lokalizacji) w zależności od parametru ToD. Directed CallPark Funkcja ta pozwala na podjęcie połączenia przychodzącego na inny numer poprzez aktywację funkcji Pickup (klawisz Softkey) i wpisanie numeru linii urządzenia dzwoniącego. INTEGRATOR REVIEW (iII/2008) 20 technologie Nowy telefon w ofercie – CP-7925G Nowością w ofercie firmy Cisco Systems jest telefon bezprzewodowy CP-7925. Telefon ten bazuje na modelu CP-7921, jednak wyróżnia się następującymi cechami: •współpraca z Bluetooth’em 2.0, •obudowa odporna na zabrudzenia, pył oraz wodę (standard IP54), •bateria o zwiększonej żywotności, •wbudowany tryb głośno-mówiący. Rys.1 Telefon CP-7925 Nowa wersja firmware’u dla telefonów IP 8.4(1) W najnowszej wersji firmware’u 8.4(1) wprowadzono kilka ciekawych usprawnień. Poprawiono sposób wykorzystania przestrzeni wyświetlacza telefonu podczas użytkowania typowych funkcji (przeźroczysty pasek przypisany do klawisza Speed-dial, optymalizacja wielkości okien wyświetlanych podczas wybierania numeru). Wsparcie dla kodeków i G.729b na traktach SIP G.729a Wersja 7.0 systemu Cisco Unified Communications Manager umożliwia użycie kodeka g.729a jak i g.729b na traktach SIP. Zaznaczyć należy, że zastosowanie tych kodeków wymaga implementacji sprzętowego zasobu MTP. Synchronizacja z katalogiem LDAP Wersja 7.0 systemu Cisco Unified Communications Manager wspiera następujące typy katalogów dla potrzeb synchronizacji: •Microsoft Active Directory 2000,2003,2008, •iPlanet Directory Server 5.1, •Sun ONE Directory Server 5.2, •Sun Java System Directory Server 6.0, 6.1. nia, dotyczące funkcjonalności BLF, czyli Busy Lamp Field. Możliwe są następujące „nowe” stany przycisków typu BLF: •Alerting – pokazywany jest stan „ringing” monitorowanej linii, •Pickup Action – możliwość przypisania akcji typu Pick-Up do przycisku typu BLF (akcja możliwa jest do przeprowadzenia w momencie wystąpienia stanu typu „alerting” na monitorowanej linii). Bramki analogowe VG202 i VG204: Wszędzie nowości – czyli zmiany w wersji 7.0 w kluczowych produktach UC Bramka dostępna w ofercie Cisco Systems - czyli ATA186, doczekała się następcy w postaci urządzenia VG202 i VG204. Wprowadzenie nowych urządzeń podyktowane było koniecznością odświeżenia linii produktowej oraz wprowadzeniem istotnych usprawnień do samego produktu. Prezentując system Cisco Unified Communications Manager 7.0, firma Cisco Systems wprowadziła również nowości w innych kluczowych komponentach systemu. Dodatkowo „wyrównaniu” uległa numeracja wersji systemu. Obecnie wszystkie aplikacje środowiska UC dostępne są w wersji 7.0. Nowe urządzenia charakteryzują się następującymi parametrami: W poniższych punktach przedstawiono główne zmiany, jakie zaszły w nowych wersjach oferowanych do tej pory rozwiązań. •urządzenie 2 lub 4 portowe (podłączenie urządzeń analogowych, takich jak telefony oraz faksy), •wsparcie dla protokołu T.38. Secure-Indication Tone W przypadku, gdy połączenie jest bezpieczne, Communications Manager 7.0(1) umożliwia odegranie tonu głosowego obu uczestnikom rozmowy, w celu poinformowania ich o tym fakcie. Trzeba jednak mieć na uwadze, że niektóre funkcje systemu, takie jak np.: •konferencje, •shared line, •extension mobility, •join across lines, są niedostępne w przypadku, gdy używamy połączeń bezpiecznych. BLF – Upgrade W Cisco Unified Communications Mamanger 7.0 wprowadzano usprawnie- ◊ Cisco Unified Presence Server 7.0 / Personal Communicator 7.0 Bardzo wiele ciekawych zmian zaszło we flagowym produkcie Cisco, czyli CUPS/CUPC 7.0. Dzięki komunikatorowi dostarczonemu przez firmę Cisco można prowadzić skuteczną komunikację za pomocą wielu kanałów (WEB konferencje/ Audio / Wideo). Klient poprzez integracje z innymi dostarczanymi przez Cisco aplikacjami pozwala na łatwą i efektywną komunikacje. Dodatkowo sama aplikacji CUPS pozwala na integracje z innymi systemami SIP/SIMPLE, np. Microsoft OCS. Integracja dotyczy wymiany informacji o dostępności oraz samego przekazywania rozmów. Wraz z wersją 7.0 tego produktu, wprowadzono sporo zmian w samym kliencie CUPC oraz we właściwej aplikacji CUPS. Zmiany w najnowszej wersji systemu opisano w poniższych punktach: © SOLIDEX, 2008 21 technologie •Wprowadzono zmiany w architekturze wewnętrznej systemu. Duże zmiany zaszły we wspieranych modelach projektowych. W chwili obecnej klaster może obsłużyć maksymalnie do 30000 użytkowników w trybie pracy klasycznym, czyli tzw. Cisco Unified Communications Mode oraz do 10000 użytkowników w trybie pracy Microsoft Office Interoperability Mode. •Współpraca z kalendarzem Microsoft Outlook (Microsoft Exchange 2003/2007) – funkcja pozwala na publikacje statusu free/busy w aplikacji kalendarza. •Cisco Unified Presence Federation – funkcja pozwala na bezpieczną komunikację w zakresie IM oraz wymiany informacji o dostępności pomiędzy środowiskami znajdującymi się w różnych sieciach (dotyczy to również współpracy z LCS 2005/ OCS 2007). •System Cisco Unified Presence Server działa obecnie na następujących platformach sprzętowych: »»MCS-7816 (do 500 użytkowników), »»MCS-7825 (do 1000 użytkowników), »»MCS-7835 (do 2500 użytkowników), »»MCS-7845 (do 5000 użytkowników). •W wersji 7.0 wprowadzono możliwość wymiany informacji o dostępności z klientem Cisco Unified Mobile Communicator. •Zmiany zaszły również w kliencie systemu - czyli w aplikacji CUPC 7.0. Poniżej przedstawiono główne zmiany: »»Możliwość tworzenia/dodawania personalnych kontaktów (tzw. Buddy list). »»Wprowadzono możliwość bezpiecznej wymiany komunikatów (Secure Messaging). »»Klient może zostać zminimalizowany do paska zadań (system tray). Ikona na pasku zawiera również informacje o statusie użytkownika. »»Kontakty mogą być blokowane/ zastrzegane. »»Status DND jest synchronizowany ze statusem DND ustawionym w systemie Cisco Unified Communications Manager. ◊ Cisco Unified MeetingPlace 7.0 System Cisco Meeting Place jest flagowym produktem firmy Cisco Systems przeznaczonym do pracy grupowej oraz do Audio/Web/Video Konferencji. W najnowszej odsłonie główne zmiany dotknęły samą architekturę rozwiązania. System do wersji 6.x jako mostka audio używał dedykowanego mostka audio-konferencyjnego. W wersji 7.0 jako mostek audio wykorzystywany jest mostek wideo z serii IPVC, wyposażony w specjalne funkcje. ◊ Cisco Unified Communications Widgets Cisco Unified Communications Widgets jest ciekawą inicjatywą Cisco Systems, polegającą na publikacji ciekawych dodatków, zwiększających funkcjonalność systemu. W chwili obecnej możliwe do wykorzystania są następujące aplikacje: •Phone Designer - aplikacja pozwala użytkownikowi w prosty sposób dostosować telefon IP do swoich wymagań oraz upodobań. Za pomocą tego dodatku można w prosty sposób edytować obrazy, które mają służyć jako tapety dla telefonu IP oraz tworzyć własne ulubione dzwonki (można konwertować pliki MP3). Aplikacja pozwala na podgląd wykonanej tapety lub na odsłuchanie tworzonego dzwonka na telefonie IP przed właściwym importem plików do systemu. •Click to Call - aplikacja pozwala na wykonanie akcji „click-to-call” z poziomu standardowych aplikacji zainstalowanych na stacjach końcowych PC użytkowników. W chwili obecnej dodatek wspiera następujące aplikacje: »»Microsoft Word/Excel, »»Microsoft Outlook, »»Microsoft SharePoint, »»Microsoft Internet Explorer, »»Mozilla Firefox. •Visual Voicemail - aplikacja przeznaczona jest do współpracy z systemami Cisco Unified Unity Connection oraz Cisco Unified Unity Express. Dodatek pozwala na przeglądanie/ odtwarzania oraz odpowiadanie na wiadomości znajdujące się w skrzynce głosowej abonenta z poziomu aplikacji uruchomionej na telefonie IP. Tomasz Cieśliński Kierownik Zespołu Konsultantów INTEGRATOR REVIEW (iII/2008) 22 technologie Mechanizmy bezpieczeństwa IOS i metody ich wykorzystania Częstym błędem popełnianym w trakcie procesu planowania systemu zabezpieczeń jest pomijanie istotnych elementów systemu teleinformatycznego, budujących jego infrastrukturę. Urządzenia, takie jak routery czy przełączniki zarządzalne, mogą stać się takim samym celem ataków sieciowych lub nadużyć jak inne kluczowe elementy systemu teleinformatycznego (tj. serwery, aplikacje biznesowe), przez co powinny zostać zabezpieczone adekwatnie do roli, jaką pełnią w danym systemie teleinformatycznym. Ponadto urządzenia budujące infrastrukturę systemu, mogą świadczyć liczne usługi w dziedzinie budowy systemu zabezpieczeń. Te dwa aspekty pracy urządzeń sieciowych wymuszają z jednej strony konieczność uruchomienia mechanizmów, pozwalających je ochronić, z drugiej zaś strony pozwalają (w zależności od możliwości technicznych danego elementu) wykorzystać ich funkcjonalności do ochrony innych części i zasobów systemu. Główny problem leżący w optymalnym wykorzystaniu możliwości danego urządzenia, polega na odpowiednim określeniu i identyfikacji potencjalnego ryzyka w relacji do technicznych możliwości, pozwalających zminimalizować ryzyko do poziomu akceptowalnego przez zapisy polityki bezpieczeństwa, wyznaczającej standardy bezpieczeństwa teleinformatycznego dla konkretnego systemu. Innymi słowy należy uruchamiać tylko te funkcjonalności, które są istotne z punktu widzenia systemu zabezpieczeń oraz te, które faktycznie coś wnoszą do systemu mechanizmów zabezpieczeń, jako całości rozwiązania chroniącego system teleinformatyczny. Dzisiejsza rzeczywistość świata informatyki i telekomunikacji wprowadza szereg nowych wyzwań dla problemu tworzenia bezpiecznych rozwiązań systemowych, które nabrały szczególnej wagi w ostatnim okresie. Przede wszystkim należy pamiętać o następujących aspektach: •Sieci i systemy wymagają ochrony we wszystkich warstwach (od war- stwy drugiej do siódmej włącznie), przez co klasyczne rozwiązania zapór ogniowych nie są już wystarczające. •Wymagane są rozwiązania pozwalające przeciwdziałać atakom i nadużyciom w każdej z warstw modelu sieciowego (np. rozwiązania IPS, filtrowania treści, przeciwdziałanie atakom 0-day itp.). •Konieczna jest możliwość sprawdzania, manipulowania oraz normalizacji najpopularniejszych protokołów sieciowych, które mogą być wykorzystane jako nośnik ataku sieciowego. niniejsze urządzenie, dlatego potencjalne wykorzystanie luk w zabezpieczeniach takiego komponentu może spowodować ciężkie skutki dla całości systemu teleinformatycznego i świadczonych przez niego usług itp. Zmiany w modelu zagrożeń, powstawanie nowych koncepcji i metodologii organizacji systemów zabezpieczeń, jakie mamy okazję obserwować, wymuszają również zmiany w realizacji funkcjonalności oraz wdrażanie nowych rozwiązań w Cisco IOS. Oprogramowanie linii 12.4T zawiera bardzo wiele istotnych nowości w funkcjonowaniu dotychcza- Dzisiejsza rzeczywistość świata informatyki i telekomunikacji wprowadza szereg nowych wyzwań dla problemu tworzenia bezpiecznych rozwiązań systemowych, które nabrały szczególnej wagi w ostatnim okresie. •Integracja usług i wszechobecna wirtualizacja (np. routery posiadające możliwości uruchomienia funkcjonalności bezpieczeństwa, VoIP, zdalnego dostępu itp.) wymusza szczególne podejście do problemu zabezpieczeń urządzenia integrującego wiele usług lub wirtualizującego środowisko systemowe. •Przełamanie zabezpieczeń urządzenia integrującego usługi lub wirtualizującego środowisko systemowe, stanowi bardzo poważne zagrożenie dla całości usług realizowanych przez sowych mechanizmów oraz implementacji zupełnie nowych, w zasadzie we wszystkich obszarach, w których router Cisco - pracujący pod kontrolą systemu IOS - może być zastosowany. W niniejszym artykule zostaną poruszone zagadnienia związane z bezpieczeństwem samego routera, jak również możliwości jego wykorzystania w procesie zabezpieczenia infrastruktury sieciowo-systemowej. W dalszej części zostanie zaprezentowana nowa koncepcja „płaszczyzn” (data, control, management, service planes) oraz kilka © SOLIDEX, 2008 23 technologie stosunkowo nowych mechanizmów, dostępnych w Cisco IOS tj. Zone-Based Policy Firewall, Flexible Packet Matching. Network Foundation Protection NFP jest to koncepcja wypracowana przez firmę Cisco, u podstaw której leży zestaw funkcjonalności bezpieczeństwa, zapewniających bezpieczne i ciągłe działanie sieci zbudowanych w oparciu o routery Cisco i IOS oraz strategie wykorzystania tychże mechanizmów. Funkcjonalności IOS rozdzielono na tzw. „płaszczyzny” (ang. planes) i przypisano im różne sposoby zabezpieczeń (często dedykowane) oraz metody ich ochrony. Wyróżniono zatem następujące „płaszczyzny”: •Data Plane – do tej płaszczyzny należą funkcjonalności odpowiedzialne za szeroko rozumiany transport pakietów poprzez sieć i obsługę ruchu sieciowego przez router. •Control Plane – to grupa funkcjonalności, dzięki którym router zachowuje zdolność routowania pakietów. Należą do niej funkcjonalności odpowiedzialne za gromadzenie wiedzy na temat dostępnych tras dla pakietów (protokoły routingu dynamicznego), jak i mechanizmy innych protokołów zapewniających routerowi poprawne działanie z wykorzystaniem różnorodnych protokołów sieciowych (np. uzgadnianie sąsiedztwa, obsługa protokołów warstwy drugiej, określanie stanów interfejsów, itp.). •Management Plane – to z kolei zbiór funkcjonalności odpowiedzialnych za szeroko pojęte zarządzanie i monitorowanie urządzeniem (np. dostęp administracyjny do CLI, SNMP, SDM itp.). •Service Plane – to zestaw pozostałych, zaawansowanych usług realizowanych przez IOS (np. MPLS VPN, Voice, QoS, IPSec VPN, NAT itp.). Rys.1 Network Foundation Protection - koncepcja U podstaw powyższego rozdzielenia funkcjonalności IOS, na grupy wyróżnione powyżej, leży koncepcja zachowania nieprzerwanej zdolności routera do transportu pakietów (Data Plane), routowania pakietów (Control Plane), zarządzania urządzeniem (Management Plane), świadczenia pozostałych usług dla użytkowników systemu (Service Plane). Każda z „płaszczyzn” posiada przypisane mechanizmy i strategie ich użycia. Szczegółowa ich analiza nie jest możliwa do dokonania na łamach niniejszego artykułu z powodu stopnia złożoności i rozległości tych zagadnień. Wydawnictwo Cisco Press opublikowało bardzo ciekawe opracowanie, dotyczące zabezpieczania „płaszczyzn” IOS autorstwa Gregga Schudela oraz Davida J. Smitha pt. „Router Security Strategies: Securing IP Network Traffic Planes”. Poniżej zostaną zaprezentowane najważniejsze aspekty. Management Plane Proces zabezpieczenia Management Plane routera Cisco ma na celu zachowanie zdolności routera do bezpiecznego zarządzania jego pracą oraz możliwość sterowania jego parametrami. Techniki, których używa się do zabezpieczenia tej grupy funkcji IOS są dość powszechnie znane. Można tutaj wymienić najważniejsze z nich: •zabezpieczenie dostępu administracyjnego mocnymi hasłami, •zabezpieczenie mechanizmów logowania przed atakami brute-force lub słownikowymi (np. quiet-mode, maksymalna ilość nieudanych logowań itp.), •zabezpieczenie zdalnego dostępu do logowania – ograniczenie urządzeń, z których można realizować sesje administracyjne, •kryptograficzna ochrona transmisji danych niezbędnych do zarządzania (SSH, SSL, SNMPv3), •zabezpieczone przed destabilizacją wiarygodne źródło czasu (NTPv3), •ustawienie czasu bezczynności dla sesji zarządzających, •ochrona obrazu IOS i konfiguracji przed skasowaniem (secure bootimage, secure boot-config), •banery o właściwej treści zgodnej z zapisami polityki bezpieczeństwa, •role-Based CLI (widoki komend konfiguracyjnych), •AAA (uwierzytelnienie, autoryzacja dostępu administracyjnego oraz gromadzenie informacji o sesjach administracyjnych oraz wykonywanych komendach), •powielone logowanie via SYSLOG, •limity dla protokołów zarządzających (np. SNMP, SYSLOG) w celu ograniczenie obciążenia CPU. Z ciekawszych komend, które pojawiły się w Management Plane Protection można wymienić komendę management-interface, wydaną w kontekście konfiguracyjnym control-plane host (nazwa komendy wskazuje na konfigurację control-plane, jednakże komenda management-interface jest związana INTEGRATOR REVIEW (iII/2008) 24 technologie z konfiguracją dostępu dla zarządzania). Komenda ta umożliwia określenie dozwolonych protokołów, wykorzystywanych na potrzeby zarządzania tj. SSH, Telnet, SSL, SNMP, TFTP. Po włączeniu niniejszej komendy wymienione protokoły będą blokowane na pozostałych interfejsach, za wyjątkiem tych określonych w/w komendą. Niestety polecenie to nie umożliwia konfiguracji dedykowanego interfejsu przeznaczonego na potrzeby zarządzania, tak jak ma to miejsce na platformach Cisco ASA. Control Plane Control Plane, jak to zdefiniowano powyżej, to zbiór tych funkcjonalności, które umożliwiają routerowi zebranie wszystkich niezbędnych informacji potrzebnych, aby przesyłać pakiety między swoimi interfejsami. Rysunek nr 2 obrazuje w schematyczny sposób istotę Control Plane w procesie routowania pakietów. Istnieje wiele technik, służących do zabezpieczenia Control Plane. Szczególnie jedna z nich rozwija się niezwykle dynamicznie, a jest nią tzw. Control-Plane Policing - czyli rodzaj konfiguracji QoS regulujących przepływ pakietów, kierowanych lokalnie do procesora routującego urządzenia. Proces zabezpieczania Control Plane należy rozpocząć przede wszystkim od wyłączenia niepotrzebnych usług i mechanizmów. Późniejsza konfiguracja jest uzależniona od roli, jaką pełni dany router w systemie oraz specyfiki środowiska, w jakim pracuje. Niemniej jednak można zaproponować tu następujące zalecenia: •wyłączenie żądań ICMP mogących zakłócić pracę urządzenia lub zdradzić informację o systemie (np. mask reply, information reply), •IP receive ACL - polecenie dostępne tylko na niektórych platformach, umożliwia określenie list kontroli dostępu dla ruchu kierowanego do procesora routującego, •Control Plane Policing (CoPP) – opisany pokrótce rodzaj konfiguracji QoS regulującej przepływ pakietów Rys.2 Control Plane do procesora routującego, głównym celem CoPP jest zapewnienie możliwości pracy Control Plane nawet w warunkach ataku DoS lub DDoS, •uwierzytelnienie sąsiedztw IGP i sesji BGP za pomocą MD5, •techniki BGP (np. filtrowanie i limitowanie prefiksów), •filtrowanie protokołów specjalnych (filtrowanie mutlicastów, snmp, protokołów zarządzających), •monitorowanie dostępności tras (IP SLA), •monitorowanie zajętości pasma lub wykrywanie nadużyć (Netflow), •zapewnienie dostępności tras (HSRP, VRRP, GLBP) i redundancję urządzeń. Wprowadzone w oprogramowaniu 12.4(4)T Control Plane Protection/Policing pozwalają na dość elastyczne manipulowanie ruchem kierowanym do niniejszej płaszczyzny funkcjonalności routera. Polecenia konfiguracyjne wykorzystywane na tym polu są analogiczne do tych, znanych z Modular Quality of Service CLI (MQC) - ostatnio występującego również pod nazwą Cisco Policy Language (zestaw komend class-map, policy-map oraz service-policy). Data Plane Płaszczyzna ta odpowiedzialna jest za szeroko rozumiany transport pakietów, zgodnie z ustalonymi zasadami i w oparciu o informacje nagromadzone przez Control Plane. Podobnie jak w powyższych przypadkach możliwych do wykorzystania mechanizmów, za pomocą których można regulować przepływem pakietów, jest sporo. Można tu wymienić np.: ◊ Unicast Reverse Path Forwarding (uRPF) – funkcjonalność pozwalająca przeciwdziałać atakom, wykorzystującym IP Spoofing, która bada przed podjęciem decyzji o przekazaniu pakietu do interfejsu wyjściowego, czy urządzenie posiada ścieżkę zwrotną. Jeśli ścieżka zwrotna lub routing domyślny nie istnieje, to pakiet taki jest odrzucany. Funkcjonalność uRPF może działać w czterech trybach, powodujących różnice w ostatecznej decyzji - podejmowanej po zbadaniu istnienia ścieżki zwrotnej. Tryby te to: •Stricte mode – musi istnieć ścieżka zwrotna skierowana tym samym interfejsem, którym wchodzi pakiet. •Loose mode – musi istnieć ścieżka zwrotna skierowana jakimkolwiek interfejsem. •VRF mode – kontrolowana jest wirtualna tablica routingu na okoliczność istnienia ścieżki zwrotnej. •Feasible mode – ścieżka zwrotna jest poszukiwana nie tylko w tablicy routingu, ale również w tablicach topologii (nawet wśród sieci, których bieżący status jest określony jako niedostępne). © SOLIDEX, 2008 25 technologie ◊Techniki QoS pozwalające na dość szerokie manipulowanie przepływem pakietów. Można w tym miejscu wykorzystać: •„kolejkowanie” (queueing), •„kolorowanie” pakietów (packet coloring), •ograniczanie pasma (rate-limiting, shaping, policing), •możliwość kształtowania pasma za pomocą mechanizmów dostępnych w protokołach sieciowych (np. Frame Relay, ATM, MPLS itp.). ◊ Wykorzystanie mechanizmów dostępnych w protokołach routingu dynamicznego i innych mechanizmach np.: •RTBH (Remotely Triggered Blackhole), •ukrywanie infrastruktury sieciowej (np. urządzenia typu „P” w MPLS), •PBR (Policy-Based Routing). Rysunek nr 3 schematycznie obrazuje, w jaki sposób odbywa się transport pakietu z interfejsu wejściowego do interfejsu wyjściowego. Jak wynika z niniejszego diagramu funkcjonalności dostępnych w IOS - służących m.in. do ochrony sieci, której infrastrukturę budują routery Cisco - jest wiele. Czytelnik zapewne zauważył, iż brakuje wśród wymienionych powyżej funkcjonalności najważniejszej, bez której nie sposób wyobrazić sobie proces zabezpieczenia systemu. Mowa tu oczywiście o Cisco IOS Firewall, czyli doskonale znanych listach kontroli dostępu, Context-Based Access Control (ip inspect), Application Firewall (appfw), IOS IPS (ip ips). Wersja 12.4T przynosi w tym zakresie bardzo duże zmiany. Przede wszystkim wprowadzono nowy rodzaj zapory sieciowej, której konfigurację realizuje się w oparciu o strefy i dołączone do nich polityki, określające przepływ pakietów poprzez urządzenie, a nie jak to miało miejsce dotychczas, w przypadku „klasycznych” konfiguracji opartych o CBAC, gdy polityki firewalla realizowało się w kontekście konfiguracyjnym interfejsów. Szerzej Zone-Based Firewall zostanie zaprezentowany poniżej wraz z nową generacją list kontroli dostępu, czyli Flexible Packet Matching – rodzajem listy kontroli dostępu, gdzie administrator nie jest ograniczony jedynie do kilku pól dostępnych w pakiecie L3 i L4. FPM umożliwia poszukiwanie wzorców bitowych w każdym miejscu pakietu, od warstwy drugiej począwszy a na siódmej skoń- Rys.3 Data Plane - operacje wykonywane przez router na pakiecie czywszy. FPM również zostanie szerzej omówiony w dalszej części niniejszego artykułu. Oprócz wspomnianych, duże zmiany objęły IOS IPS (wersja 12.4(11) T), gdzie zastosowano nowy format sygnatur, odpowiadający tym znanym z Cisco IDS-42xx lub modułów IDSM-2 i AIP-SSM. Twórcy Cisco IOS umożliwili również realizację funkcjonalności tzw. transparent firewall oraz transparent IPS, gdzie konfigurację zapory sieciowej i systemu przeciwdziałania atakom sieciowym można dołączyć do portu, pracującego jako interfejs warstwy drugiej. Umożliwia to np. realizację funkcji ochronnych bez konieczności readreacji sieci IP lub wybiorczą ochronę urządzeń w ramach tej samej podsieci IP. Zone-Based Policy Firewall Nowa koncepcja stanowej zapory sieciowej została wprowadzona do IOS wraz z wersją 12.4(4)T. Klasyczny IOS Firewall nie zostanie wycofany, jednakże firma Cisco w przyszłości będzie kładła nacisk na rozwój ZFW (nowe funkcjonalności będą dostępne w ZFW a nie w klasycznym CBAC). W chwili obecnej ZFW nie zawiera jeszcze wszystkich mechanizmów dostępnych w zaporze klasycznej. W nowej wersji Czytelnik nie znajdzie jeszcze wsparcia dla IPv6, MIB, stateful failover. To co na pewno znalazło się w ZFW to stanowa inspekcja protokołów, analiza zestawu protokołów aplikacyjnych, wsparcie dla filtrowania URL, VRF oraz poprawiona wydajność i sprawniejsza praca całego IOS Firewall (zmniejszenie obciążenia CPU powodowanej analizą protokołów sieciowych, zwiększenie przepustowości oraz ilości jednoczesnych sesji obsługiwanych przez zaporę sieciową IOS). Główne różnice pomiędzy Classic a Zone-Based Policy FW polegają na koncepcji konfiguracji. Jak już wspomniano powyżej, klasyczna zapora realizuje swoją politykę per interfejs, natomiast ZFW oparty jest na koncepcji stref (zones), do których dołączane są interfejsy routera. Para stref jednocześnie wyznacza kierunek ruchu, jak również stanowi miejsce, gdzie administrator dołącza opracowaną wcześniej politykę zapory INTEGRATOR REVIEW (iII/2008) 26 technologie Rys. 4 Zone-Based Policy Firewall - zasada działania sieciowej. Jako że ZFW, podobnie jak zapora klasyczna, jest stanowa - ruch przepuszczony przez zdefiniowaną politykę, a będący odpowiedzią na ruch wcześniej nawiązany, zostanie automatycznie przepuszczony. Rysunek nr 4 obrazuje podstawowe zasady działania ZFW: •ruch miedzy interfejsami tej samej strefy będzie przepuszczany, •ruch między interfejsem przypisanym do strefy a interfejsem nieprzypisanym do żadnej ze stref będzie blokowany, •ruch miedzy strefami musi być dopuszczony polityką, •pary stref wyznaczają kierunek ruchu (każdy z kierunków musi mieć osobną politykę). Konfigurację ZFW wykonuje się z wykorzystaniem Cisco Policy Language, czyli znanych z MQC poleceń class-map, policy-map oraz service-policy. Do tego dochodzą jeszcze nowe polecenia, definiujące strefy, przypisujące interfejsy do stref oraz definiujące pary stref oraz kierunki przepływu pakietów między nimi. W uproszczony sposób kroki konfiguracyjne, jakie należy podjąć w celu konfiguracji ZFW, są następujące: •definicja ruchu opisanego polityką (polecenie class-map), •określenie akcji dla wybranego ruchu: pass, drop, log, inspect, urlfilter, policy (w ramach polecenia policy-map), •definicja stref (polecenie zone security), •przyłączenie interfejsów do stref (polecenie zone-member), •tworzenie pary stref - wyznaczenie kierunku ruchu (polecenie zone-pair security), •dowiązanie polityki do pary stref (komenda service-policy wydana w kontekście konfiguracyjnym pary stref). ! ! Komunikacja miedzy dwiema strefami (Outside i Inside). Pelne wyjscie z Inside do Outside ! Wejscie z Outside do Inside tylko dla telnet do hosta 10.10.10.10 ! access-list 100 permit tcp any host 10.10.10.10 eq telnet ! class-map type inspect match-all PERMIT-TELNET match protocol telnet match access-group 100 ! class-map type inspect match-any POPULAR-PROTOCOLS match protocol tcp match protocol udp match protocol icmp ! policy-map type inspect PERMIT-PROTOCOLS-FROM-INSIDE class type inspect POPULAR-PROTOCOLS inspect class class-default drop log ! policy-map type inspect PERMIT-TELNET-FROM-OUTSIDE class type inspect PERMIT-TELNET inspect class class-default drop log ! zone security OUTSIDE description Untrusted zone security INSIDE description Trusted ! zone-pair security OUTBOUND source INSIDE destination OUTSIDE service-policy type inspect PERMIT-PROTOCOLS-FROM-INSIDE ! zone-pair security INBOUND source OUTSIDE destination INSIDE service-policy type inspect PERMIT-TELNET-FROM-OUTSIDE ! interface FastEthernet0/0 zone-member security INSIDE ! interface FastEthernet0/1 zone-member security OUTSIDE © SOLIDEX, 2008 27 technologie Rys.5 Schemat topologii dla przykładowej konfiguracji ZFW Powyższy przykład obrazuje konfigurację ZFW, posiadającego dwie strefy: Inside i Outsider. Użytkownicy ze strefy Inside mają prawo do używania protokołów TCP, UDP i ICMP, dla których ruch powrotny zostanie przepuszczony przez ZFW. Od strony zewnętrznej routera dopuszczony został jedynie protokół TELNET do adresu 10.10.10.10. Pakiety, które nie zostały opisane politykami zapory sieciowej (klasa ruchu o nazwie class_default), zostaną odrzucone, a informacja o tym fakcie trafi do logu routera. Flexible Packet Matching Drugą z najciekawszych funkcjonalności dostępnych w oprogramowaniu IOS jest Flexible Packet Matching, nazywany już „ACL nowej generacji”. W przeciwieństwie do klasycznych list kontroli dostępu, FPM nie jest ograniczony do z góry określonych pól w pakietach tj. adres źródłowy i docelowy, port źródłowy i docelowy itp., ale FPM umożliwia poszukiwanie dowolnych ciągów bitowych w pakietach, od początku na- główka warstwy drugiej aż do warstwy siódmej włącznie. Ponadto FPM posiada większą ilość akcji, jakie można zastosować dla interesującego ruchu. To, co umożliwia Flexible Packet Matching to przede wszystkim: np. możliwość szybkiego załadowania reguł FPM na wiele urządzeń (stosowane plików TCDF jest opcjonalne). FPM posiada niestety również i ograniczenia. Do najważniejszych z nich należą: •bardziej szczegółowa selekcja pakietów, •wykorzystywanie informacji z warstw 2, 5-7, •większe panowanie nad „badanym” ruchem, •możliwość precyzyjnego wyboru ruchu do blokowania, •możliwość blokowania ekspansii wirusów i robaków, •przeciwdziałanie atakom 0-day. •brak inspekcji stanowej, •brak inspekcji protokołów aplikacyjnych (np. śledzenie portów dynamicznych), •inspekcja tylko pakietów unicast IPv4, •utrudnienia w analizie ruchu fragmentowanego (tylko pakiety początkowe), •brak obsługi na interfejsach tunnel i MPLS, •brak wsparcia dla multicastów. FPM do konfiguracji wykorzystuje CPL, podobnie jak ma to miejsce w przypadku ZFW lub QoS. FPM posiada spore udogodnienie dla osób postawionych przed zadaniem skonfigurowania takiej listy kontroli dostępu. Głównie chodzi tu o sposób określenia interesującej wartości pól zawartych w nagłówkach badanych pakietów. Administrator ma możliwość badania konkretnego ciągu bitowego, opierając się o przesunięcie bajtowe względem początku nagłówka L2 lub L3. Oprócz tego istnieje możliwość skorzystania z plików XML, opisujących strukturę danego pakietu i jego nagłówka dla konkretnego protokołu. Pliki te noszą nazwę PHDF (Protocol Header Definition File). Przed przystąpieniem do konfiguracji polityk FPM, administrator routera ma możliwość załadowania plików PHDF i odwoływania się do wartości pól pakietów nazwanych w pliku PHDF, bez konieczności korzystania i szczegółowego obliczania przesunięcia bajtowego względem początku nagłówka. Pliki PHDF dla najpopularniejszych protokołów są dostępne na stronach firmy Cisco. FPM wykorzystuje jeszcze jeden rodzaj plików XML - TCDF (Traffic Classification Definition File). Pliki te zawierają kompletną definicję polityki FPM, zastępującą odpowiednie sekwencje poleceń, które musiałyby być wydane przez administratora w konfiguracji IOS. Dzięki plikom TCDF administrator ma Kroki konfiguracyjne, jakie trzeba wykonać, aby przeprowadzić konfigurację FPM, są następujące: •załadowanie pliku PHDF (load-protocol) – krok opcjonalny uzależniający sposób odwołania się do odpowiednich pól pakietów, •określenie interesującego ruchu za pomocą class-map, •wybór ruchu za pomocą komendy match field (gdy używany jest PHDF), •wybór ruchu za pomoca komendy match start (gdy PHDF nie jest używany), •określenie polityki dla wybranego ruchu za pomocą policy-map (np. drop), •powiązanie polityk w jeden twór za pomocą service-policy, •przyłączenie service-policy do interfejsu routera. Poniższy przykład konfiguracyjny ilustruje blokowanie wirusa Slammer (długość 404 bajtów, port UDP 1434, poszukiwany wzorzec 0x4011010 od 224 bajta licząc od początku nagłówka IP). Podsumowanie Router Cisco już od dłuższego czasu nie musi być traktowany jako urządzenie jedynie transportujące pakiety poprzez sieci. Bogactwo funkcjonalności zawar- INTEGRATOR REVIEW (iII/2008) 28 technologie tych w Cisco IOS umożliwia przypisywanie routerom różnych ról, w zależności od bieżących potrzeb i środowiska, w którym zostały one uruchomione. Należy jednakże ciągle pamiętać o po- tencjalnych zagrożeniach oraz o ryzyku ich materializacji. Z tego względu oprócz kwestii funkcjonalnych routery Cisco powinny być wciągnięte do systemu zabezpieczeń systemu teleinfor- ! ! Blokowanie wirusa Slammer (długość 404 bytes, port UDP 1434, ! Poszukiwany wzorzec 0x4011010 od 224 bajta licząc od początku nagłówka ip ! load protocol disk2:ip.phdf load protocol disk2:udp.phdf ! class-map type stack match-all ip-udp description „Pakiet UDP” match field ip protocol eq 0x11 next udp ! class-map type access-control match-all slammer description „Wykrywanie Slammera” match field udp dest-port eq 0x59A match field ip length eq 0x194 match start l3-start offset 224 size 4 eq 0x4011010 ! policy-map type access-control fpm-udp-policy description „Polityka dla atakow w UDP” class slammer drop ! policy-map type access-control fpm-policy description „drop worms and malicious attacks” class ip-udp service-policy fpm-udp-policy ! interface gigabitEthernet 0/1 service-policy type access-control input fpm-policy ! matycznego. W raz z przełącznikami Cisco oraz innymi urządzeniami, które oferują również wiele ciekawych funkcjonalności ze świata security, mogą one znacznie wzbogacić wachlarz środków zaradczych przeciwko potencjalnym problemom bezpieczeństwa danej infrastruktury. Nie należy jednakże polegać tylko i wyłącznie na standardowych mechanizmach zabezpieczeń, dostępnych na urządzeniach. Koncepcja bezpieczeństwa systemu teleinformatycznego winna być przemyślana w najdrobniejszych szczegółach i zrealizowana koncepcyjnie na każdym poziomie. Jednym ze sposobów realizacji konfiguracji systemu zabezpieczeń - jest model warstwowy, gdzie warstwy (funkcje ochronne, elementy konfiguracji również te nie związane z bezpieczeństwem w sensie stricte) wzajemnie chronią siebie i w przypadku przełamania jednej z nich, pozostałe warstwy pozwolą na zablokowanie ataku lub przynajmniej ograniczą zasięg potencjalnego zagrożenia dla pozostałych elementów systemu. Maciej Ogórkiewicz Inżynier Konsultant © SOLIDEX, 2008 29 rozwiązania Cisco NAC Appliance i jego możliwości NAC Appliance, czyli pełna kontrola dostępu do zasobów sieciowych oraz ochrona przed zagrożeniami pochodzącymi z wnętrza infrastruktury. Według wszelkich prawideł projektowych Kompletny System Bezpieczeństwa dotyczy nie tylko aspektów zabezpieczeń przed atakami z zewnątrz, ale i z wnętrza sieci. Wielowarstwowe modele projektowania infrastruktury bezpieczeństwa sieciowego nakazują, aby polityki bezpieczeństwa były egzekwowane już na stacjach końcowych (PC, PDA, GSM). W takim przypadku skutecznym uzupełnieniem standardowych mechanizmów zabezpieczeń - jest system pełnej kontroli dostępu do infrastruktury sieciowej, w zależności od poziomu bezpieczeństwa stacji końcowych. Wstęp do technologii Network Admission Control Technologia NAC polega na wykorzystaniu zasobów sieciowych do inteligentnego narzucenia praw dostępu, w zależności od poziomu bezpieczeństwa urządzenia końcowego. Technologia NAC klasyfikowana jest przez Cisco Systems jako integralna część system SDN (Self – Defending – Network). Z biegiem czasu SDN ewaluował do systemu, który charakteryzował się: •Integracją mechanizmów bezpieczeństwa: »» routery, przełączniki, aplikacje oraz stacje końcowe, »» bezpieczna łączność, ochrona przed zagrożeniami, aspekty zaufania oraz identyfikacji sieciowej, •Pełną współpracą zintegrowanych mechanizmów bezpieczeństwa: »» stacje końcowe + infrastruktura sieciowa + aplikacje, »» NAC, usługi bazujące na indetyfikacji sieciowej, •Adaptacją bezpieczeństwa przed zagrożeniami: »» konsolidacja usług powodujący wzrost efektywności wykonywanych operacji, »» wzrost efektywności mechanizmów bezpieczeństwa. Firma Cisco Systems klasyfikuje technologie NAC jako część rozwiązania SDN, która odpowiada za mechanizm zarządzania identyfikacją oraz zaufania w infrastrukturze sieciowej. System odpowiadający za mechanizmy zarządzania identyfikacją oraz zaufaniem, składa się z 3 technologii: •zarządzanie tożsamością ( rozwiązanie bazujące na wykorzystaniu CSACS ): »» gwarantowany mechanizm identyfikacji i pełna integracja urządzeń w sieci, »» udostępnione usługi AAA, »» możliwość bezpiecznego zarządzania zdalnymi urządzeniami, •usługi oparte o tożsamość sieciową (rozwiązanie bazujące na wykorzystaniu CSACS oraz 802.1x): »» kreowanie „zaufanych” domen sieciowych, »» rozszerzony dostęp do zasobów sieciowych LAN, »» kreowanie i przypisywanie automatyczne VLANów w zależności od polityk bezpieczeństwa, »» wsparcie dla przewodowych oraz bezprzewodowych sieci, •NAC ( rozwiązanie bazujące na wykorzystaniu technologii NAC Framework, NAC Appliance): »» wymuszanie polityk bezpieczeństwa przy pomocy Cisco Trust Agenta, »» kontrolowanie ruchu w sieci (nakładanie restrykcji, kwarantanny, przekierowywanie), »» rozszerzona funkcjonalność dzięki Agentowi Cisco Security, mechanizmom Anti-X oraz rozwiązań firm trzecich. NAC w wykonaniu CISCO SYSTEMS Cisco grupuje produkty, wykorzystujące technologie NAC, względem rodzaju zagrożeń bezpieczeństwa (tabela nr 1). Cisco Security Agent jest dedykowanym systemem zabezpieczeń dla serwerów, stacji roboczych czy systemów operacyjnych. System oparty jest na działaniu algorytmów, analizujących anomalie w sieci (skuteczniejszy niż system porównywania sygnatur). Rozwiązanie to konsoliduje w sobie jednego agenta do zabezpieczenia stacji końcowej wraz z funkcjonalnościami (Host Intrusion Prevention, Spyware, Adware Protection, Distributed Firewall Capabilities, Audit Log Consolidation). Rozwiązania działające w oparciu o architekturę NAC, dotyczą dwóch produktów/technik. INTEGRATOR REVIEW (iII/2008) 30 rozwiązania Nieznane zagrożenia Znane zagrożenia Cisco NAC - Architektura działania Cisco Trust Agent Cisco Trust Posture Agent Cisco Security Agent - Agent Aplikacyjny - Agregacja listy uwierzytelniającej z Cisco Security Agent (plug-in) oraz z aplikacji AV (różnych producentów) - Komunikacja z urządzeniami sieciowymi (routery przełączniki posiadające funkcjonalność NAC) Cisco NAC Appliance Cisco NAC Appliance - Agent Aplikacyjny - Zaimplementowana ocena podatności uwzględniając sprawdzone pliki, rejestry, usługi, aplikacje - Komunikacja z Cisco CAM (Clean Access Manager) oraz CAS (Clean Access ) Tab.1 Różnice pomiędzy produktami NAC Cisco Pierwsze rozwiązanie bazuje na wykorzystaniu funkcjonalności Cisco Trust Agenta (Endpoint Security), urządzeń typu NAD (Network Access Devices) oraz serwerów AAA. Cisco Trust Agent jest aplikacją instalowaną na stacjach końcowych. Do najważniejszych zadań agenta należy umożliwianie dostępu do zasobów w sieci, w zależności od spełnienia pewnego poziomu bezpieczeństwa samej stacji roboczej (stanu stacji roboczej - posture). W tym celu Cisco Trust Agent, za pomocą odpowiednich pluginów (może być aplikacja innego vendora), sprawdza odpowiednie biblioteki dll. Komunikacja (dostarczenie „dokumentacji” oraz odbiór wyników ich sprawdzenia) pomiędzy „urządzeniami dostępowymi” a agentem odbywa się przy pomocy specjalnie „wystawionego” interfejsu (API). Uzupełnieniem tego rozwiązania są urządzenia NAD - czyli urządzenia takie, jak: przełączniki, routery, punkty dostępowe (system autonomiczny), koncentratory VPN, aparaty IP. Powyższy produkt/technika NAC nosi nazwę Framework. Podsumowując, rozwiązanie typu Framework skoncentrowane jest na urządzeniu końcowym, a do uwierzytelniania potrzebny jest suplikant 802.1x lub EAPoverUDP. Urządzenia NAD służą do wykonywania decyzji serwera AAA. Wyróżniamy trzy modele wdrożenia tego rozwiązania: •L2 802.1x (autoryzacja na przełączniku lub punkcie dostępowym), •L3 IP (autoryzacja na routerze lub innym urządzeniu L3), •L2 IP (autoryzacja na przełączniku). •zautomatyzowane mechanizmy „naprawy” oraz aktualizacji stacji roboczych. Drugie rozwiązanie bazuje na technologii typu NAC Appliance. Technologia NAC Appliance opiera się na działaniu mechanizmów automatycznej detekcji, izolowania oraz „czyszczenia” zainfekowanych urządzeń końcowych, próbujących uzyskać dostęp do zasobów sieciowych. Dodatkowo system ten uzupełnia Cisco Security Agent - zainstalowany na stacji roboczej. System NAC Appliance, bazujący na agencie, umożliwia skanowanie i sprawdzanie systemów plików, rejestrów oraz aplikacji. Do mocnych atutów tego rozwiązania można zaliczyć: •minimalizację przerw pracy systemów sieciowych, •wymuszanie odpowiednich polityk bezpieczeństwa, Cisco NAC Appliance, będące częścią koncepcji Cisco Self-Defending Network, ma za zadanie wykorzystać infrastrukturę sieciową (znacznie mniej zaangażowanych urządzeń niż w przypadku NAC Framework) do celów identyfikacji, zapobiegania zagrożeń oraz przystosowywania infrastruktury IT na zwalczanie ich nowych odmiany. Działanie rozwiązania typu NAC Appliance można sprowadzić do 4 procesów: •rozpoznania - rozpoznanie użytkowników, ich stacji roboczych oraz ich profili w sieci, •oceny - oceny w jakim stopniu polityka bezpieczeństwa na stacji końcowej odpowiada ogólnym politykom bezpieczeństwa, •egzekwowania - egzekwowanie polityk bezpieczeństwa poprzez blokowanie, izolowanie oraz „naprawy niekompatybilnych” maszyn, •aktualizowania - mechanizmy umożliwiające przeprowadzanie procesu aktualizacji maszyn „niekompatybilnych”. Rys.1 Porównanie technologii NAC Framework oraz NAC Appliance © SOLIDEX, 2008 31 rozwiązania System NAC Appliance składa się z następujących elementów: VLANy lub różne (mapowanie VLANów). •Interfejsy CASa mogą być trunkami. •Interfejsy sieci zaufanej oraz niezaufanej posiadają ten sam adres IP (do zarządzania i kontaktu z CAM). •Brama domyślna ustawiona jest na interfejsie urządzenia L3 w sieci zaufanej. •Stacje końcowe identyfikowane są po MAC adresie. 1. Cisco NAC Appliance (dawniej Clean Access Server) Urządzenie („serwer”) wymuszające proces oceniania stanu stacji oraz egzekwowania poziomu dostępu, w zależności od wyniku jej weryfikacji pod względem podatności. CAS jest oprogramowaniem opartym o system Linux (zoptymalizowany Fedora Core w NAC Appliance wersji 4.1) i instalowanym na platformach sprzętowych (Cisco, HP, Dell). Na dzień dzisiejszy Cisco udostępnia ten system na urządzeniach dedykowanych „appliance” (wersja 4.5). CAS stanowi swoistą bramę pomiędzy siecią untrusted (zarządzana) a siecią trusted. Użytkownik próbujący dostać się do infrastruktury sieciowej, jest blokowany na poziomie portu (brak możliwości komunikacji z siecią trusted, możliwość tylko ruchu DHCP i DNS) do momentu pozytywnego przejścia, np.: procesu walidacji stacji roboczej użytkownika. Urządzenie skalowane jest do pięciu rozmiarów (ilość jednoczesnych prób „wejścia” do sieci) - 100, 250, 500, 1500, 2500 oraz 3500. CAS może pracować w jednym z trzech trybów: Virtual Gateway (bridge), Real-IP Gateway (router), Real-IP z funkcją NAT (router + translacja). Virtual Gateway (bridge) •CAS operuje na ramkach jako bridge. •Na interfejsach mogą być te same Vendor Cisco Dell Real – IP/NAT (router) •CAS jako router (default gateway dla sprawdzanej sieci). •CAS operuje na statycznym routingu (nie rozgłasza tras). •Tryb NAT realizowany jest dla połączeń wychodzących (zalecane do testów). •Interfejs „sieci nie zaufanej” może obsługiwać wiele VLANów (trunk). •CAS może pracować jako DHCP Relay lub DHCP Server. Rys.2 Virtual Gateway (bridge) Poniżej wymienione zostały kluczowe właściwości systemu NAC Appliance (wersja 4.1): Integracja procesu autentykacji z usługą „single sign-on” NAC Appliance świadczy usługi proxy większości metod uwierzytelniania (RADIUS, LDAP, Kerberos, Active Directory, S/Ident). Dla zoptymalizowania procesu autoryzacji NAC Appliance wspiera również usługę „single signon” dla klientów VPN oraz klientów „bezprzewodowych”. Model Number Min. CAS Version CCA-3140-H1 4.1(x); 4.0(x); 3.6(x) MCS-7825-I1-CC1/IPC1 4.1(x); 4.0(x); 3.6(x) MCS-7825-I1-ECS1 4.1(x); 4.0(x); 3.6(x); 3.5(x); 3.4(x); PowerEdge 1950 4.1(1); 4.0(6); ProLiant DL140 G3 4.1(1); 4.0(4); ProLiant DL360 G5 4.1(1); 4.0(4); HP Tab.2 Zestaw wspieranych platform sprzętowych dla NAC Appliance (max. wersja 4.1) Rys.3 Real - IP/NAT (router) Ocena podatności Cisco NAC Appliance wspiera proces skanowania systemów Microsoft Windows, Mac OS oraz wielu dystrybucji Linux’owych na stacjach roboczych. Dodatkowo procesem skanowania poddawane są również urządzenia takie, jak: PDA, drukarki oraz telefony IP. Ocenie podatności poddawane są rów- INTEGRATOR REVIEW (iII/2008) 32 rozwiązania nież aplikacje, klucze rejestrów systemowych oraz system plików. Kwarantanna urządzeń niekompatybilnych Urządzenia „niekompatybilne” z ogólną polityką bezpieczeństwa w firmie mogą być umieszczane w strefie kwarantanny (zazwyczaj wydzielona podsieć z maską 30 bitową) lub specjalnie wydzielony VLAN. Automatyczny proces aktualizacji polityk bezpieczeństwa Możliwość automatycznego pobierania aktualizacji predefiniowanych polityk bezpieczeństwa dla najczęściej używanych kryteriów dostępu do zasobów sieciowych, takich jak: •poprawki do systemów operacyjnych, •aktualizowane bazy wirusów dla aplikacji AV, •aktualizowanie systemów antyspyware. Centralne zarządzanie Rozbudowana webowa konsola zarządzająca dla jednego lub wielu serwerów CAS. •Cheks: pojedyncze sprawdzenie (wyrażenie logiczne) elementu systemu operacyjnego klienta. Sprawdzenie klucza rejestru, plików, usług, aplikacji. •Rule: reguły (RULES) to wyrażenie logiczne złożone ze sprawdzeń (Checks) i operatorów logicznych [ (,),I,&,! ], służą do określenia luki. •Requirements: wymagania (requirements) to powiązanie reguł z metodami naprawy wykrytych słabości. Metody te obejmują np.: dostarczenie pliku czy odnośnika do strony WWW. •Role: role są zbiorami wymagań, które przypisuje się do grup użytkowników. Powyższe parametry, a także zainstalowany agent Cisco CCA na stacji roboczej, umożliwiają systemowi NAC Appliance przeprowadzić i zweryfikować jej stan (posture). Cisco Clean Access Manager dostępny jest w trzech opcjach (w zależności od ilości obsługiwanych CASów): •Cisco Clean Access Lite Manager zarządza do 3 CASów, •Cisco Clean Access Standard Manager zarządza do 20 CASów, 2. Cisco Clean Access Manager (CAM) Clean Access Manager jest centralnym systemem zarządzania technologii NAC Appliance. CAM potrafi zarządzać pojedynczym lub wieloma urządzeniami CAS (tabela nr 2). CAM ma za zadanie centralnie zarządzać politykami bezpieczeństwa oraz ich wymogami. Z poziomu konsoli zarządzania CAM użytkownik jest w stanie skonfigurować następujące parametry: Cisco Clean Access Agent (CCA) Cisco Clean Access Agent jest to darmowa aplikacja typu agent. Instalowana jest na stacjach roboczych i umożliwia pobranie danych uwierzytelniających od użytkownika. Dodatkowo przeprowadza proces skanowania rejestrów stacji roboczych i wspomaga CAS przy procesie identyfikowania stacji (sprawdza IP oraz MAC adresy). Istotną informacją jest fakt, iż aplikacja ta stanowi opcjonalne uzupełnienie systemu NAC Appliance. Ostatnim i opcjonalnym elementem systemu są reguły i aktualizacje, umożliwiające automatyczne wymuszanie aktualizacji dla aplikacji AV, poprawek systemowych oraz innych programów. Uaktualnienia są dystrybuowane w formacie XML z zaznaczeniem wersji pliku (tabela nr3). Modele wdrożeń NAC Appliance Dzięki „elastyczności” systemu NAC Appliance klient ma możliwość dostosowania odpowiedniego modelu wdrożenia w zależności od swoich potrzeb. Cisco NAC Appliance Cisco NAC Appliance 3350 3390 NAC Network Module for Integrated Services Routers Produkt - Clean Access Server (licencje na 100, 250, 500 użytkowników) - Clean Access Lite Manager - Clean Access Server (licencje na 1500, 2500, 3500 użytkowników) - Clean Access Standard Manager - Clean Access Super Manager - NAC Network Moduł (licencje na 50, 100 użytkowników) Procesor Dual-core Intel Xeon 2.33-GHz Dual-core Intel Xeon 3.0-GHz 2 x dual-core Intel Xeon 3.0-GHz 1-GHz Intel Celeron-M Pamięć RAM 1 GB PC2-4200 (2 x 512 MB) 2 GB PC2-5300 (2 x 1 GB) 4 GB PC2-5300 (4 x 1 GB) 512-MB double data rate 2 (DDR2) HDD 80-GB NPH SATA drive 2 x 72-GB SFF SAS RAID drives 4 x 72-GB SFF SAS RAID drives 80-GB Serial ATA (SATA) drive NICs - 2 x Integrated Broadcom 10/100/1000 5708 NICs - 2 x Intel e1000 Gigabit NICs (PCI-X) - 2 x Integrated Broadcom 10/100/1000 5721 NICs - 2 x Intel e1000 Gigabit NICs (PCI-X) - 2 x Integrated Broadcom 10/100/1000 5721 NICs - 2 x Intel e1000 Gigabit NICs (PCI-X) - Cisco NAC Appliance 3310 Elastyczne modele wdrożeń Szeroki wachlarz modeli wdrożeń. Nie trzeba dostosowywać sieci do NAC Appliance – to NAC Appliance dostosuje się do istniejącej sieci. •Cisco Clean Access Super Manager zarządza do 40 CASów. Tab.3 Wymagania sprzętowe produktów NAC Appliance © SOLIDEX, 2008 33 rozwiązania Układ wdrożenia Out-Of-Band: System NAC Appliance można wdrożyć na kilka sposobów: W modelu wdrożenia OOB - CAS kontroluje ruch pakietów klienta tylko do momentu zbadania stanu stacji oraz jej uwierzytelnienia. •Centralnie i Brzegowo: podział ze względu na miejsce podłączenia CASa, •In-Band i Out-Of-Band: podział ze względu na logiczne podłączenie CASa i obsługę procesu autoryzacji, •L2 i L3: podział ze względu na uwzględnienie unikalnego identyfikatora (IP lub MAC). Układ wdrożenia Centralnego: W modelu Centralnego wdrożenia CAS umieszczony jest w „centralnym” miejscu w sieci, na ogół przy głównym przełączniku( ruch agregowany z przełączników dostępowych). Zazwyczaj przy tego typu wdrożeniu CAS wykonuje mapowanie VLANów. Rys. 5 Układ wdrożenia Brzegowego Układ wdrożenia In-Band: W modelu wdrożenia IB - CAS kontroluje cały ruch pakietów klienta ( ruch pakietów „przechodzi” przez CAS nawet po procesie zbadania stanu stacji i jej uwierzytelnienia). Rys. 7 Układ wdrożenia Out-Of-Band Układ wdrożenia L2: W modelu wdrożenia L2 - CAS identyfikuje stacje klienta w drugiej warstwie (MAC adres). Rys. 4 Układ wdrożenia Centralnego Układ wdrożenia Brzegowego: W modelu wdrożenia Brzegowego CAS umieszczony jest na „brzegu” sieci korporacyjnej (CAS pracuje w obrębie tylko jednego VLANu, brak mapowania VLANów). Rys. 6 Układ wdrożenia In-Band Rys. 8 Układ wdrożenia L2 INTEGRATOR REVIEW (iII/2008) 34 rozwiązania Układ wdrożenia L3: W modelu wdrożenia L3 - CAS identyfikuje stacje klienta w trzeciej warstwie ( IP adres). Najczęściej model ten stosowany jest dla połączeń WAN i VPN. Dodatkowo uwzględniając tryby pracy NAC Appliance, modele wdrożeń przedstawiają się następująco: •In-Band Virtual Gateway, •In-Band Real-IP Gateway, •In-Band Real-IP Gateway/NAT, •Out-Of-Band Virtual Gateway, •Out-Of-Band Real-IP Gateway, •Out-Of-Band Real-IP Gateway/NAT, •Centralnie wdrożony Virtual Gateway, •Centralnie wdrożony Virtual Gateway, •Centralnie wdrożony Virtual Gateway, •Brzegowo wdrożony Real-IP Gateway, •Real-IP Gateway pracujący w trybie L3, •Real-IP Gateway pracujący w trybie L2, wdrożony centralnie. cowywania najnowszej wersji NAC Appliance (wersja 4.5). Najnowsza wersja umożliwia przede wszystkim pełną integrację systemu NAC z rozwiązaniem RADIUS. Dodatkowo będzie możliwe importowanie i eksportowanie polityk pomiędzy serwerami NAC Manager. Uzupełniając informacje na temat produktów Cisco NAC, warto wspomnieć jeszcze o module NME-NAC-K9 (kompatybilny z ISR 2800, 3800 oprócz 2801, IOS 12.4(11)T). Moduł NACa jest odpowiednikiem „większego” brata NAC Appliance - stosowanym w mniejszych firmach lub zdalnych oddziałach. Routery z tym modułem są zarządzane również przez CAMa. Skalowalność tego rozwiązania mieści się w granicach od 50 do 100 użytkowników (licencje na 50 oraz 100 użytkowników). Podsumowanie Rys. 9 Układ wdrożenia L3 Reasumując, technologia NAC stanowi nieodzowną część kompletnego systemu zabezpieczeń. Technologia NAC jest stosunkowo młoda, ale perspektywiczna. Cisco jest już na etapie dopra- Jakub Świerczyk Inżynier Konsultant Naszą misją jest pomoc w efektywnym rozwoju Waszych organizacji www.SOLIDEX.com.pl © SOLIDEX, 2008 35 rozwiązania Projektowanie wygodnych serwisów „dla ludzi”? Każda aplikacja czy rozwiązanie komunikacyjne, a tym bardziej rozwiązanie o zabarwieniu społecznościowym, wymaga od projektantów - oprócz niezawodności i wysokiej jakości technicznej samego rozwiązania informatycznego - czegoś znacznie więcej. Podobnie jak budynek użyteczności publicznej - a nawet prywatny duży lub mały dom oprócz tego, że powinien być postawiony w zgodzie ze sztuką budowlaną i wykonany w najlepszych dostępnych technologiach, powinien także być funkcjonalny, użyteczny oraz dobrze, aby zachwycał swoich gości ładnym wyglądem i spójnym wykończeniem. Powyższa analogia jest bardzo bliska każdej dziedzinie projektowania, w tym także projektowaniu publikacji elektronicznych i sprowadza się do logicznego i bardzo uzasadnionego twierdzenia, że dobre rozwiązanie komunikacyjne wymaga od jego autorów zaprojektowania i budowy użytecznego, funkcjonalnego i estetycznego interfejsu użytkownika. Przede wszystkim istotna jest logiczna i zgodna z celami struktura informacyjna, aby można było uznać dane rozwiązanie za dobre a nawet wiodące, gdy inne okoliczności temu sprzyjają - chociażby wówczas, gdy konkurencyjne rozwiązania nie prezentują wysokiego poziomu dla użytkowników. Szczególnie w przypadku rozwiązań adresowanych do masowej liczby odbiorców (jak portale, serwisy społecznościowe, interfejsy użytkownika popularnych usług masowych) interfejs użytkownika i wygodne korzystanie z najlepiej nawet zaprogramowanych funkcjonalności decyduje o powodzeniu lub klęsce rozwiązania na arenie powszechnego Internetu czy nawet mniejszych grupach użytkowników, jak to ma miejsce w korporacyjnych rozwiązaniach intranetowych lub usługach on-linowych, dedykowanych dla zdefiniowanej grupy Klientów. W rozwiązaniach internetowych rzadko zdarza się tzw. „drugie miejsce” czy „srebrny medal”. Najczęściej jakieś rozwiązanie, które jest uznane przez użytkowników za wiodące w swojej klasie, dystansuje drugiego gracza znacznie i tak naprawdę staje się standardem samym w sobie i jedynym wyznaczni- kiem, do którego inni mogą co najwyżej próbować się porównać (przykładem niech będzie kilka popularnych i znanych rozwiązań, takich jak Google. com czy Amazon.com a naszego lokalnego rynku Onet.pl lub Allegro.pl i wiele innych standardów, których sukces w dużej mierze opiera się na bezwzględnym werdykcie wydanym przez ilość korzystających użytkowników, którzy czują się tam dobrze i radzą sobie z prostą i funkcjonalną obsługą). Projektując rozwiązanie, co do którego inwestor i projektant mają duże oczekiwania i ambicje, warto pamiętać o zasadzie z refrenu piosenki zespołu Abba, która w dziedzinie ogólnodostępnych rozwiązań komunikacyjnych sprawdza się wyjątkowo dobrze: „The Winner Takes It All”. wych rozwiązań w danej tematyce. Te mniej istotne czynniki, które nadal są brane pod uwagę przez użytkownika (jak chęć urozmaicenia lub znudzenie jednym rozwiązaniem), wypełniają oferty konkurencji. Jednak dystans dzielący „numer dwa” od lidera, bywa zaskakująco duży w porównaniu z innymi dziedzinami. Rozważania dotyczące dobrej użyteczności i dobrze zastosowanej struktury nie odnoszą się tylko do dużych i popularnych rozwiązań przeznaczonych dla szerokich rzeszy użytkowników. Tak jak nasz prywatny dom nie powinien wcale być mniej użyteczny w swojej znacznie skromniejszej funkcji od popularnego centrum handlowego - tak mniejsze lub mniej popularne w Inter- Projektując rozwiązanie, co do którego inwestor i projektant mają duże oczekiwania i ambicje, warto pamiętać o zasadzie z refrenu piosenki zespołu Abba, która w dziedzinie ogólnodostępnych rozwiązań komunikacyjnych sprawdza się wyjątkowo dobrze: „The Winner Takes It All”. W Internecie z reguły nie występują komercyjne bariery związane z wyższą ceną używania rozwiązań najlepszych i najbardziej popularnych lub z ich ograniczoną dostępnością (z wyjątkiem bariery językowej i kulturowej w przypadku serwisów globalnych, co stanowi tu pewien wyjątek). Nie ma silnych czynników, które utrzymywałyby użytkownika przy niżej sklasyfikowanych rozwiązaniach odciągając go od lidera i wyrównując stawkę kilku czoło- necie rozwiązania i projekty nie muszą być wcale gorzej zaprojektowane od dużych i znanych portali. Wprost przeciwnie - mniejsze rozwiązanie o celniej zdefiniowanej grupie odbiorców i ich potrzebach jest znacznie łatwiejsze do użytecznego zaprojektowania niż ogromny portal społecznościowy, z którego korzystają „wszyscy” i powinien być dopasowany do potrzeb tych „wszystkich” - co oznacza ogromne kompromisy. INTEGRATOR REVIEW (iII/2008) 36 rozwiązania Zespół projektowy zajmujący się zagadnieniami architektury informacyjnej i interfejsów w firmie WebService, jakkolwiek ma w swoim dorobku projektowanie dużych i największych rozwiązań, z których korzystają „wszyscy” (jak choćby portal Onet.pl czy Era Omnix) - na co dzień jednak rozwiązuje problemy funkcjonalne i formalne, znacznie skromniejszych projektów, na potrzeby Klientów korporacyjnych. Wspólnie z zespołem IT, który analizuje i przymierza się do budowy rozwiązań technologicznych, zespół projektowania interfejsu buduje i analizuje przyszłą wizję nawigacji, użyteczności i formy graficznej - czyli tzw. look&feel wdrażanych rozwiązań. Dlaczego warto zwracać uwagę na to, aby budowane rozwiązanie było dobrze przeanalizowane i zaprojektowane pod kątem użyteczności i funkcjonalności interfejsu graficznego? Wystarczy nieco się rozejrzeć po stronach i serwisach z różnych branż i o różnym przeznaczeniu, aby szybko wyłapać te, których użyteczność i nasze subiektywne poczucie wygody w nawigowaniu zostawiają wiele do życzenia. Jest ich niestety bardzo dużo. W zdecydowanej większości, nawet wśród znanych i dużych firm zajmujących się budową rozwiązań IT, nie ma ani dużego doświadczenia ani dedykowanych zespołów, specjalizujących się w projektowaniu użytecznych interfejsów opartych o komunikację użytkowników przez konwencje używane w Internecie. Najczęściej w procesie projektowania i wdrożenia aplikacji tak jak pamięta się o rzetelnej analizie technicznej i dobrych praktykach programistycznych - zapomina się o uży- firmie - najczęściej małej i niedrogiej lub wręcz tzw. Freelance’rowi - przez integratora IT, bez większego przywiązywania wagi do właściwej funkcjonalności dla użytkownika końcowego. Zewnętrzny podwykonawca niezaangażowany i nieświadomy zagadnień funkcjonalnego i użytecznego interfejsu dla danego procesu skupia się na ładnym i modnym projekcie graficznym, często przesyconym zbędnymi elementami, które jednak podnoszą wartość materialną wykonanego zadania w oderwaniu od jego przeznaczenia Dlaczego warto zwracać uwagę na to, aby budowane rozwiązanie było dobrze przeanalizowane i zaprojektowane pod kątem użyteczności i funkcjonalności interfejsu graficznego? teczności, a analiza funkcjonalności samego interfejsu umyka w pośpiechu i natłoku pracy twórców aplikacji. i funkcji (np. przez nadmierne wykorzystanie elementów multimedialnych czy rozwiązań graficznych w interfejsie). Postępowaniem „szablonowym” na rynku w takich przypadkach jest podzlecanie projektu graficznego tworzonego rozwiązania (rzadziej pamięta się o architekturze informacji) zewnętrznej Wiele spośród zagadnień istotnych z punktu widzenia przyszłego użytkowania i rozwoju projektowanego rozwiązania - nie jest brane pod uwagę w fazie analizy i projektowania, co © SOLIDEX, 2008 37 rozwiązania w rezultacie odbija się niekorzystnie na samym projekcie i jego łącznych kosztach. Do rzadkości należy analiza cyklu życia projektowanego systemu, przewidująca choćby w zarysie planowanie późniejszych modyfikacji lub wymiany szaty graficznej. Fakt, że warstwa graficzna opatrzy się znacznie szybciej, niż zużyje się dobrze zaprojektowana aplikacja czy dobra funkcja, jest łatwy do przewidzenia i warto go uwzględnić w prognozowanym cyklu życia serwisu, aby potem „nie wylewać dziecka z kąpielą” i nie dać się zaskoczyć statystykom odwiedzin za kilkanaście miesięcy. W przypadku celowego przewidzenia ewentualności odświeżenia szaty graficznej, po pewnym czasie bez „demolowania” całego serwisu i kodów jego aplikacji, inwestor znacznie zaoszczędzi na kosztach przebudowy i zakłopotaniu użytkowników, a aplikacja otrzyma drugą młodość przy ciągle dobrej i użytecznej funkcjonalności. Godne uwagi i polecenia przy samym projektowaniu architektury informacyjnej jest zaplanowanie kilku hierarchii docierania do informacji w strukturze, zgodnie z naturalnymi sposobami poszukiwania ich przez różnych użytkowników. Ważne jest jednak, aby pamiętać o nadaniu jednej z nich (tej najbardziej logicznej) roli wiodącej i wyraźnie domyślnej, podczas gdy pozostałe będą dostępne dla bardziej zaawansowanych użytkowników jako alternatywy i nie będą się rzucać w oczy laikom, aby nie powodować zagubienia w serwisie. Dobrym pomysłem jest tutaj separacja warstwy docelowej (treściowej) od tej nawigacyjnej, co pozwoli nam w przyszłości manewrować hierarchią informacji lub zezwolić zaawansowanemu użytkownikowi na personalizację w tym zakresie, bez wpływu na obszary z treścią właściwą. Każde działanie powinno być oczywiście dostosowane do skali i przezna- czenia planowanego rozwiązania. Dla niektórych małych projektów czasem nie warto wytaczać wszystkich ogromnych „dział” projektowych i analitycznych, gdyż nie przyniesie to wielkiego skutku. Dla małych rozwiązań proces świadomego projektowania funkcjonalności także powinien się odbyć, jednak przy użyciu nieco skromniejszych środków i proporcjonalnych nakładów. Bartłomiej Podkowa Dyrektor Działu Graficznego Webservice Budujemy sprawną i bezpieczną infrastrukturę teleinformatyczną www.SOLIDEX.com.pl INTEGRATOR REVIEW (iII/2008) 38 Program SOLIDEX Autoryzowane szkolenia Cisco Systems (także w nowym Centrum Kompetencyjno-Szkoleniowym) ICND 1 Interconnecting Cisco Networks Devices Part 1 ICND 2 Interconnecting Cisco Networks Devices Part 2 BSCI BCMSN ISCW Building Scalable Cisco Internetworks Building Cisco Multilayer Switched Networks Implementing Secure Converged Wide Area Networks BGP Configuring BGP on Cisco Routers ONT Optimizing Converged Cisco Networks SNAA Securing Networks with ASA Advanced SNAF Securing Networks with ASA Foundation SNRS v3.0 Securing Networks with Cisco Routers and Switches CIPT P1 v6.0 Implementing Cisco Unified Communications Manager Part 1 CIPT P2 v6.0 Implementing Cisco Unified Communications Manager Part 2 CWLMS QoS MPLS Implementing CiscoWorks LMS Implementing Cisco Quality of Service Implementing Cisco MPLS Infolinia: 0800 49 55 82 Więcej informacji można uzyskać w serwisie www.SOLIDEX.com.pl, www.cks.SOLIDEX.com.pl oraz via e-mail: [email protected] Szkolenia prowadzone są w centrali oraz warszawskim oddziale SOLIDEX: Kraków Centrala SOLIDEX, ul. Lea 124; Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX, Złote Tarasy - Lumen, ul. Złota 59 Harmonogram na rok 2009 Seminarium I Nowoczesne usługi „przyszłości” w świecie mobilnych technologii 19 lutego Cykliczne seminaria SOLIDEX Zapraszamy na cykl bezpłatnych seminariów organizowanych przez SOLIDEX SA w Centrum Kompetencyjno- Szkoleniowym w Warszawie. Celem spotkań jest kompleksowe przedstawienie najnowszych rozwiązań teleinformatycznych, które pomogą w efektywnym rozwoju Państwa organizacji. Prezentacje prowadzone są przez SOLIDnych EXpertów oraz przedstawicieli Partnerów Technologicznych SOLIDEX, wśród których znajdą się światowi liderzy branży IT. Seminarium II Aplikacje webowe wspierające procesy biznesowe nowoczesnych przedsiębiorstw 23 kwietnia Seminarium III Czy kontrolujesz swoje dane? Czyli zaawansowana ochrona informacji w przedsiębiorstwie 18 czerwca Seminarium IV Unified Communications jako fundament i wydajne narzędzie do wymiany informacji 3 września Seminarium V Security - wirtualna rzeczywistość Centrum Przetwarzania Danych 29 października Seminarium VI Przewidywanie Nieprzewidywalnego - Business Continuity Planning 10 grudnia SOLIDEX SA Centrala: ul. J. Lea 124, 30-133 Kraków, tel.: +48 (12) 638 04 80, fax: +48 (12) 638 04 70, www.SOLIDEX.com.pl SOLIDEX SA Oddział Warszawa Centrum Kompetencyjno-Szkoleniowe: Złote Tarasy – Lumen (IV poziom), ul. Złota 59, 00-120 Warszawa, tel.: +48 (22) 222 34 00, fax: +48 (22) 222 34 05, www.cks.SOLIDEX.com.pl
Podobne dokumenty
Integrator Review Wydanie Jubileuszowe
Rozliczanie usług typu prepaid w oparciu o SOLIDEX.callnet
Bardziej szczegółowo