Integrator Review 3/2008

Komentarze

Transkrypt

Integrator Review 3/2008
Nr III/2008
BIULETYN INFORMACYJNY SOLIDEX
NOWOŚCI
Innowacja w zabezpieczeniu
danych – Cisco GET VPN
Wydarzenia
SOLIDEX Złotym
Partnerem Cisco
Expo 2008
ROZWIĄZANIA
Projektowanie
wygodnych serwisów
„dla ludzi”?
TECHNOLOGIE
Świat technologii
Cisco Unified
Communications 7.0
Gold Certified Partner
Learning Partner
Advanced Unified Communications
Advanced Technology Partner Outdoor Wireless Mesh
Advanced Wireless LAN
Advanced Routing and Switching
Advanced Security
Check Point Platinum Partner
Check Point Certified Collaborative Support Provider
Crannog Software Reseller
Principal Membership Level
Direct Solution Provider
Nokia Authorized Security Partner
TrueNorth Associate Partner
Support Services Subcontractor
F5 Premier Advantage Partner
Premium Partner
Gold Partner
Crossbeam Authorized Partner X (CAP X)
Crossbeam Accredited Service Partner
McAfee Premier Partner
RSA SecurWorld Solutions Partner
RSA SecureCare Provider
Partner Oracle Poland
HP Software Gold Partner
HP Preferred Partner
Citrix Silver Solution Advisor
Authorized Support Partner
NetApp VIP Reseller
Symantec Gold Partner
Advanced Solution Partner
Endance Authorized Distributor
IBM Business Partner
Premier Partner
© SOLIDEX, 2006
2
Spis treści
Szanowni Państwo,
W niniejszym wydaniu INTEGRATORA – REVIEW prezentujemy najciekawsze artykuły, które ukazały się na łamach czterech
wydań INTEGRATORA ONLINE w okresie od września do grudnia 2008 roku. Mamy nadzieję, że prezentowane tematy spotkają
się z Państwa zainteresowaniem. Pragniemy przypomnieć, że INTERATOR ONLINE nie wymaga rejestracji i jest ogólnodostępny
w naszym serwisie www.SOLIDnySerwis.pl .
Zachęcamy do lektury!!!
Wesołych Świąt Bożego Narodzenia
oraz wszelkiej pomyślności
w nadchodzącym Nowym Roku
wraz z podziękowaniami za owocną współpracę
życzy
Zarząd i Pracownicy SOLIDEX
Wydarzenia
4
4
4
4
5
5
5
5
5
6
6
6
SOLIDEX wyróżniony tytułem Cisco Customer Satisfaction Excellence
Kolejne seminarium SOLIDEX
SOLIDEX rozbuduje sieć LAN dla Uniwersytetu Kazimierza Wielkiego
SOLIDEX otrzymał statuetkę aliansu ServiceOne
System komunikacji wewnętrznej dla Narodowego Funduszu Zdrowia
Budowa Centrum Przetwarzania Danych dla Narodowego Funduszu Zdrowia
SOLIDEX - 10 lat Złotym Partnerem Cisco Systems
SOLIDEX wyróżniony nagrodą "F5 Special Achievement Reward 2008
SOLIDEX Złotym Partnerem Cisco Expo 2008
V Seminarium SOLIDEX
SOLIDEX nominowany do tytułu „Filara Polskiej Gospodarki 2008”
SOLIDEX – „Preferowany Partner HP” na rok 2009
NOWOŚCI
8
13
15
Urządzenia Fortinet w rozwiązaniach bezpieczeństwa dla
sektora operatorskiego
IT w służbie procesów biznesowych
Innowacja w zabezpieczeniu danych – Cisco GET VPN
TECHNOLOGIE
20
23
Świat technologii Cisco Unified Communications 7.0
Mechanizmy bezpieczeństwa IOS i metody ich wykorzystania
ROZWIĄZANIA
30
36
Cisco NAC Appliance i jego możliwości
Projektowanie wygodnych serwisów „dla ludzi”?
© SOLIDEX, 2008
Wydarzenia
SOLIDEX wyróżniony tytułem Cisco Customer Satisfaction Excellence
W trakcie kwartalnych badań satysfakcji Klienta Cisco - SOLIDEX został
nagrodzony tytułem Cisco Channel Customer Satisfaction. Kolejne wyróżnienie dla naszej Firmy potwierdza wysoki
poziom zadowolenia użytkowników
produktów Cisco z oferowanych przez
nas rozwiązań.
Badanie przeprowadzone jest w oparciu o kwestionariusze ankiet, które
zawierają szereg szczegółowych pytań, pozwalających Klientowi wyrazić
swoją opinię na temat pracy partnera
w niemalże każdym z możliwych zakresów. Ocenie poddawany jest m.in. poziom oferowanych produktów, działań
wspierających sprzedaż oraz usług serwisowych. Wieloletnie doświadczenie
SOLIDEX w zakresie sprzedaży, wdrażania i utrzymywania produktów Cisco
pozwoliło zdobyć zaufanie Klientów,
którzy po raz kolejny wysoko ocenili jakość świadczonych przez nas usług.
Przedsiębiorstwa posiadające status
Cisco Channel Satisfaction Excellence,
zostają wyróżnione na stronach Cisco
w narzędziu Cisco Partner Locator,
dzięki widniejącym przy ich nazwach
złotych gwiazdkach. SOLIDEX jest jedną z pięciu firm w Polsce o statusie Gold
Partner Cisco, które uzyskały najwyższy
poziom zadowolenia Klientów.
prelegentów znaleźli się przedstawiciele znanych i cenionych firm w branży IT,
takich jak: CISCO, TANDBERG i CONTEC.
Nowocześnie wyposażone sale, wykwalifikowana kadra inżynierów oraz
miła atmosfera panująca podczas seminarium, była doskonałą okazją do
zdobycia wiedzy i podniesienia swoich
kompetencji.
Serdecznie dziękujemy za udział w naszym seminarium.
Wszystkich zainteresowanych uczestnictwem w kolejnym z bezpłatnych seminariów SOLIDEX prosimy o zgłaszanie się na adres: [email protected]
com.pl .
Kolejne seminarium SOLIDEX
Dnia 11 września 2008 roku odbyło się
IV z kolei spotkanie, z cyklu „Seminaria
SOLIDEX”, pt. „Nowoczesne systemy
zintegrowanej komunikacji jako element budowy przewagi konkurencyjnej”.
Zajęcia prowadzone były przez SOLIDnych EXpertów oraz naszych Partnerów
w nowoczesnym Centrum Kompetencyjno-Szkoleniowym w Złotych Tarasach w Warszawie. Tym razem wśród
Szczegółowa agenda oraz harmonogram seminariów znajduje się na stronie:
www.SOLIDEX.com.pl/251_2048.htm .
SOLIDEX rozbuduje sieć LAN dla Uniwersytetu Kazimierza Wielkiego
Dnia 23 lipca 2008 roku SOLIDEX podpisał umowę z Uniwersytetem Kazimierza Wielkiego w Bydgoszczy na
dostawę sprzętu sieciowego wraz
z oprogramowaniem.
W ramach kontraktu SOLIDEX dostarczy sieć radiową i urządzenia sieciowe.
Celem projektu jest rozbudowa oraz
modernizacja lokalnych wydziałowych
sieci komputerowych LAN. Całość zostanie objęta szybkim serwisem gwarancyjnym, a certyfikowani inżynierowie SOLIDEX zapewnią profesjonalne
wsparcie techniczne zainstalowanym
urządzeniom.
SOLIDEX od początku swojej obecności na rynku podejmuje ambitne wyzwania, realizując wiele innowacyjnych
projektów IT w sektorze publicznym.
Naszym Klientom zapewniamy najwyższą jakość usług, w tym profesjonalną
opiekę techniczną na każdym etapie
realizowanych inwestycji.
SOLIDEX otrzymał statuetkę aliansu ServiceOne
W listopadzie 2008 roku SOLIDEX otrzymał statuetkę poświadczającą przynależność do elitarnego aliansu ServiceOne, skupiającego firmy, uznawane w
swoich krajach za ekspertów w dziedzinie wdrażania i integracji systemów.
ServiceOne świadczy wsparcie serwisowe w 51 krajach, obejmując 130 biur
regionalnych oraz dysponując w sumie
ok.1500 wysoko wykwalifikowanymi
inżynierami (w tym ponad 132 inżynierami CCIE).
Wszyscy członkowie Aliansu ServiceOne posiadają najwyższe certyfikaty i
specjalizacje w najlepszych światowych
technologiach, w tym prawie wszyscy
posiadają status Złotego Partnera Cisco. W ramach współpracy dzielą się
posiadaną wiedzą i umiejętnościami
oraz przekazują sobie wypracowane
najlepsze wzorce postępowań.
Celem przedsięwzięcia jest udostępnienie lokalnych produktów i usług Klientom na całym świecie. Poprzez wiedzę,
doświadczenie, referencje i dostępność
geograficzną, ServiceOne chce świadczyć usługi najwyższej jakości.
Więcej na temat Aliansu ServiceOne
oraz firm biorących udział w przedsięwzięciu znajdą Państwo na stronie:
www.serviceonealliance.com .
INTEGRATOR REVIEW (iII/2008)
4
Wydarzenia
System komunikacji wewnętrznej dla Narodowego Funduszu Zdrowia
Dnia 14 sierpnia 2008 roku SOLIDEX
podpisał umowę na dostawę systemu
komunikacji wewnętrznej w ramach istniejącej infrastruktury sieciowej do Centrali Narodowego Funduszu Zdrowia.
Celem projektu jest wdrożenie systemu
komunikacyjnego opartego o rozwiązanie Cisco Unified Communications
Manager. Dla podniesienia jakości oraz
funkcjonalności - system wyposażony zostanie w zestawy VT Advantage,
pozwalające na łatwą i efektywną komunikację wideo w systemie telefonii
IP. Funkcjonalność VT Advanatage ma
szczególne znaczenie, gdyż podnosi
wartość użytkową systemu telefonicz-
nego, a zestawienie połączenia jest
równie proste jak tradycyjne połączenie telefoniczne.
W ramach kontraktu SOLIDEX przygotuje szczegółowy projekt techniczny,
dokona instalacji, konfiguracji i uruchomienia komunikacji wewnętrznej
w Centrali NFZ w Warszawie. Całość zostanie objęta szybkim serwisem gwarancyjnym. Certyfikowanie inżynierowie SOLIDEX zapewnią profesjonalne
wsparcie techniczne zainstalowanym
urządzeniom.
zwania, realizując wiele innowacyjnych
projektów. Bogate doświadczenie Firmy w zakresie wdrażania i utrzymania
produktów światowych liderów IT, unikatowa metodologia realizacji usług
i systemów teleinformatycznych, wykwalifikowania kadra techniczna, sieć
placówek regionalnych oraz centra
kompetencyjno-szkoleniowe w Warszawie i Krakowie są gwarancją sukcesu
powierzonych nam inwestycji.
SOLIDEX od początku swojej obecności na rynku podejmuje ambitne wy-
Budowa Centrum Przetwarzania Danych dla Narodowego Funduszu Zdrowia
SOLIDEX w dniu 18 lipca 2008 roku
podpisał umowę, obejmującą dostawę i wdrożenie zespołu urządzeń do
Centrum Przetwarzania Danych (CPD)
w Narodowym Funduszu Zdrowia. Celem projektu jest budowa infrastruktury sieciowej w układzie wysokiej dostępności, co w konsekwencji zapewni
ciągłość przetwarzania danych oraz
umożliwi wdrażanie nowych usług
i aplikacji. Bardzo ważnym kryterium
stawianym przed realizacją projektu
jest także współpraca i koordynacja
działań pomiędzy różnymi podmiotami zaangażowanymi w realizację postawionego celu, takimi jak operatorzy
telekomunikacyjni oraz producenci
systemów i aplikacji wykorzystywanych przez NFZ.
wie SOLIDEX zapewnią profesjonalne
wsparcie techniczne zainstalowanym
urządzeniom.
Zakres dostaw będzie obejmował routery brzegowe Cisco XR 12000, przełączniki sieciowe serii Catalyst 6500
oraz urządzenia zapewniające ochronę
sieciową Cisco ASA 5500. W ramach
kontraktu SOLIDEX przygotuje szczegółowy projekt techniczny, dokona
instalacji, konfiguracji i uruchomienia
urządzeń sieciowych w obu Centrach
Przetwarzania Danych NFZ. Całość zostanie objęta szybkim serwisem gwarancyjnym. Certyfikowanie inżyniero-
SOLIDEX od lat działa na rynku IT
w sektorze publicznym, zdobywając
doświadczenie w zakresie kompleksowej realizacji nawet najbardziej skomplikowanych przedsięwzięć, od dostaw
i instalacji, poprzez prace wdrożeniowe
i szkolenia. Naszym Klientom zapewniamy najwyższą jakość usług, w tym
profesjonalną opiekę techniczną na
każdym etapie realizowanych inwestycji.
SOLIDEX - 10 lat Złotym Partnerem Cisco Systems
W październiku 2008 roku SOLIDEX po
raz dziesiąty przeszedł pomyślnie proces recertyfikacji, zachowując status
Złotego Partnera Cisco Systems (Cisco
Gold Certified Partner).
Firma sprostała wszystkim stawianym
wymaganiom, dotyczącym wykwalifikowanego personelu, zakresu wsparcia
technicznego, posiadanych specjalizacji
oraz kryteriów związanych z poziomem
zadowolenia Klientów. Tytuł Złotego
Partnera Cisco Systems, który nieustannie utrzymujemy od dziesięciu lat, jest
najlepszym dowodem zaangażowania
we współpracę, a przede wszystkim
doskonałej znajomości technologii
i rozwiązań Cisco. Status Gold Certified
Partner jest gwarancją wysokiej jakości
świadczonych usług, niezależnie od
stopnia ich złożoności, począwszy od
wdrażania, poprzez wsparcie technicz-
ne i sprzedaż produktów Cisco.
Rozwiązania proponowane przez
SOLIDEX w połączeniu z bezkonkurencyjna technologią Cisco Systems
pozwalają realizować nawet najbardziej innowacyjne projekty teleinformatyczne.
© SOLIDEX, 2008
5
Wydarzenia
SOLIDEX wyróżniony nagrodą „F5 Special Achievement Reward 2008”
W listopadzie 2008 roku SOLIDEX
otrzymał prestiżową nagrodę „F5 Special Achievement Reward 2008” w trakcie corocznej konferencji partnerów
EMEA, która tym razem odbyła się w
Barcelonie.
Nagroda przyznana Firmie za wybitne osiągnięcia w dziedzinie biznesu,
potwierdzone najwyższą sprzedażą w
Europie Wschodniej, została złożona na
ręce Dyrektora Pionu Handlowego SOLIDEX Bartłomieja Wilczyńskiego. Wyróżnienie to jest świadectwem wysokich
kwalifikacji w zakresie sprzedaży, wdrażania i utrzymania produktów firmy F5
gwarantuje wysoką jakość nawet najbardziej skomplikowanych rozwiązań
teleinformatycznych, zapewniających
szybki i łatwy dostęp do portali i aplikacji.
Networks, światowego lidera rozwiązań
służących do optymalizacji wydajności i
obciążenia aplikacji oraz sieci.
Wyjątkowe zaangażowanie SOLIDEX
we współpracę z firmą F5 Networks,
SOLIDEX Złotym Partnerem Cisco Expo 2008
W dniach 23-24 października 2008 roku
w Hotelu Best Western Mazurkas w Ożarowie odbyła się siódma edycja konferencji Cisco Expo. SOLIDEX po raz kolejny wziął udział w tym wydarzeniu jako
Złoty Partner.
Tegoroczna konferencja, której towarzyszy hasło „Wideo zmienia wszystko”,
składała się z seminariów poświęconych
zagadnieniom biznesowym oraz technicznym. W bloku sesji biznesowych
zostały zaprezentowane rozwiązania
szczególnie istotne w takich branżach,
jak: przemysł, bankowość, hotelarstwo,
nieruchomości, opieka zdrowotna
oraz sektor publiczny. W trakcie sesji
technicznych uczestnicy zapoznali się
z szeroko pojętymi zagadnieniami bezpieczeństwa sieciowego, centrów przetwarzania danych, telefonii IP oraz sieci
bezprzewodowych. Tradycyjnie wydarzeniu towarzyszyła wystawa rozwiązań
telekomunikacyjnych i technicznych Cisco oraz partnerów konferencji.
SOLIDEX jako firma posiadająca najwyższy status partnerski Cisco Gold Certified
Partner, a jednocześnie Partner Złoty
konferencji, zaprezentował interesujące wykłady teoretyczne oraz warsztaty,
dotyczące następującej tematyki:
•„Mechanizmy bezpieczeństwa Cisco
IOS i metody ich wykorzystania”
•„Sieci kratowe w oparciu o rozwiązania Cisco Systems w teorii i praktyce”
•„IronPort web security (seria S)
w praktyce”
•„802.11n - standard, którego nie należy się obawiać”.
Jak co roku, konferencja Cisco Expo obfitowała w ciekawe wykłady uzupełnione
o warsztaty praktyczne, stając się okazją do wymiany cennych doświadczeń.
Uczestnicy spotkania dowiedzieli się
m.in. jak wykorzystać nowoczesne technologie do usprawnienia zarządzania,
zwiększenia produktywności i zbudowania przewagi konkurencyjnej.
Mamy nadzieję, że przygotowane przez
nas prezentacje spotkały się z Państwa
zainteresowaniem. Dziękujemy za liczne
przybycie i aktywny udział w zadawaniu
pytań naszym SOLIDnym EXpertom.
INTEGRATOR REVIEW (iII/2008)
6
Wydarzenia
V Seminarium SOLIDEX
Dnia 30 października 2008 roku odbyło
się piąte z kolei spotkanie, z cyklu „Seminaria SOLIDEX”, zatytułowane „Integracja bez tajemnic”. Tradycyjnie prezentacje poprowadzili SOLIDni EXperci
wraz z Partnerami Technologicznymi,
wśród których znaleźli się przedstawiciele takich firm, jak: Hewlett-Packard,
Netscout Systems oraz Cisco/Ironport.
Prelegenci przedstawili wykłady teoretyczne na temat:
•Diody danych - zabezpieczenie styków sieci z zastosowaniem jednokierunkowej transmisji danych
•Szybkość i bezpieczeństwo w zarządzaniu i monitoringu sieci
•Inteligentny skaner bezpieczeństwa
aplikacji WWW.
•Rozwiązania zarządzania wydajnością a dostępność usług biznesowych
(prezentacja w języku angielskim)
Serdecznie dziękujemy za udział w naszym seminarium.
Wszystkich zainteresowanych uczestnictwem w kolejnym z bezpłatnych
seminariów SOLIDEX prosimy o zgłaszanie się na adres:
[email protected] .
•Ewolucja zagrożeń internetowych czy Twój system jest na to gotowy?
»»Ochrona poczty na przykładzie
rozwiązań IronPort
»»Ochrona przed zagrożeniami WWW
na przykładzie rozwiązań IronPort
Szczegółowa agenda oraz harmonogram seminariów znajduje się na stronie:
www.SOLIDEX.com.pl/251_2048.htm .
SOLIDEX nominowany do tytułu „Filara Polskiej Gospodarki 2008”
SOLIDEX został nominowany do tytułu
„Filara Polskiej Gospodarki 2008”. Nagroda jest przyznawana przedsiębiorstwom, które zajmują wiodącą pozycję
w gospodarce poszczególnych regionów, istotnych ze względu na skalę
działania dla całej gospodarki narodowej.
su” oraz międzynarodowa wywiadownia gospodarcza Dun and Bradstreet.
Filary Polskiej Gospodarki to średnie
i duże przedsiębiorstwa, które osiągają doskonałe wyniki finansowe, prowadząc działalność w sposób uczciwy
i przejrzysty, a jednocześnie są wrażliwe na potrzeby społeczności lokalnej.
To już piąta edycja konkursu, którego
organizatorami są dziennik „Puls Bizne-
Zwycięscy wyłaniani są w dwóch etapach. W pierwszym Dun and Bradstreet
opracowuje listę nominowanych firm
z każdego województwa na podstawie
analizy wybranych wskaźników ekonomicznych oraz po określeniu poziomu
moralności płatniczej przedsiębiorstwa. W drugim etapie odbywa się głosowanie za pomocą SMSów oraz przez
stronę www.filary.pb.pl. W głosowaniu
uczestniczą mieszkańcy regionu, organizacje biznesowe, stowarzyszenia oraz
media lokalne.
SOLIDEX - „Preferowany Partner HP” na rok 2009
W listopadzie 2008 roku SOLIDEX spełnił wszystkie wymagania autoryzacyjne i po raz kolejny otrzymał status
„Preferowanego Partnera HP” na rok
2009. Tytuł ten potwierdza wyjątkowe
zaangażowanie SOLIDEX we współpracę z HP. Przyznany status gwarantuje
wysoką pozycję na rynku, a poprzez
swoją unikalność udaje się go osiągnąć
zaledwie pięciu procentom partnerów.
Ponadto zapewnia szereg korzyści
i przywilejów dla Firmy i jej Klientów
zagwarantowanych w ramach programu autoryzacyjnego.
Wieloletnie doświadczenie SOLIDEX
we współpracy z HP zaowocowało doskonałą znajomością rozwiązań, służących do kompleksowego zarządzania
systemem informatycznym: od sieci,
serwerów i aplikacji, po stacje robocze
i systemy bezpieczeństwa. Nasze kom-
petencje potwierdzają liczne certyfikaty przyznawane co roku inżynierom
i handlowcom. Niezawodne produkty
firmy HP w połączeniu z zaangażowaniem SOLIDEX we współpracę a także
profesjonalna kadra inżynierów i handlowców posiadających obszerną wiedzę na temat rozwiązań korporacyjnych, są najlepszą gwarancją sukcesu
powierzonych nam inwestycji teleinformatycznych.
© SOLIDEX, 2008
7
Nowości
Urządzenia Fortinet w rozwiązaniach bezpieczeństwa dla
sektora operatorskiego
Celem niniejszego artykułu jest przedstawienie urządzeń z oferty firmy Fortinet ze szczególnym uwzględnieniem
rozwiązań dla sektora operatorskiego.
Fortinet jest pionierem i liderem na
rynku systemów zabezpieczeń, posiadających sprzętowe wsparcie obsługi
ruchu monitorowanego. Firma dysponuje bardzo szerokim portfolio, które
jest w stanie spełnić bardzo zróżnicowane wymagania. Należy tu wyróżnić
następujące linie produktów:
•FortiGate - zintegrowane systemy
bezpieczeństwa UTM - Unified Threat Management (FireWall, AntyWirus,
AntySpam, WebFiltering, Intrusion
Prevention(IPS),VPN),
•FortiMail - systemy ochrony poczty
elektronicznej (anty spam + anty
wirus),
•FortiManager - zintegrowany system zarządzania systemami bezpieczeństwa ,
•FortiAnalyzer - zintegrowany system raportowania.
W każdej linii produktów firma Fortinet
ma rozwiązania dla zróżnicowanych
wymagań - od urządzeń dla sektora
SMB/SOHO, przez rozwiązania dla rynku Enterprise, po urządzenia dedykowane dla rynku operatorskiego.
Jak już wspomniano, systemy bezpieczeństwa Fortinet wyróżnia budowa
w oparciu o dedykowane układy elektroniczne, sprzętowo wspierające obsługę ruchu - FortiASICT. W urządzeniach Fortinet stosowane są poniższe
dwa układy:
•NetworkASIC (NP) odpowiada za akceleracje funkcji Firewall, VPN (IPSec/
SSL), badania anomalii IPS,
•ApplicationASIC (CP) wspiera moduły: Antivirus+AntiSpyware, Web
Filtering, wsparcia antywirusowego
dla funkcji AntiSpam, Traffic Shaping.
W celu pełnego wykorzystania możliwości procesorów specjalizowanych
(FortiASIC) - Fortinet stworzył dedykowany system operacyjny FortiOST, który integruje w sobie wszystkie funkcje
systemów zabezpieczeń Fortinet i jednocześnie stanowi system zarządzania
oraz raportowania w ramach pojedynczego urządzenia.
W celu zapewnienia ochrony - producenci systemów zabezpieczeń budują
dedykowane infrastruktury, które monitorują i poddają analizie ciągle pojawiające się zagrożenia w sieci Internet.
Stworzona przez Fortinet - FortiGuard
Network - jest właśnie taką infrastrukturą, odpowiedzialną za rozwój pakietów aktualizacyjnych dla produktów:
•Anty Wirus,
•Anty Spyware,
•Anty Spam,
•Web Filtering.
W dalszej części artykułu zostaną omówione urządzenia, które mogą znaleźć
zastosowanie w sieciach operatorskich
lub dużych sieciach korporacyjnych.
Urządzenia UTM
Rys.1 Architektura urządzeń UTM firmy Fortinet
Flagowym urządzeniem dedykowanym do rozwiązań o wysokich wymaganiach wydajnościowych oraz niezawodnościowych - a takie są zwykle
stawiane przez sektor operatorski - jest
FortiGate serii 5000. Jest to urządzenie klasy UTM o budowie modularnej,
pozwalające świadczyć usługi bez-
INTEGRATOR REVIEW (iII/2008)
8
Nowości
pieczeństwa, takie jak: firewall, VPN,
antivirus, antispam, web filtering oraz
IPS. Szerokie możliwości konfiguracji
pozwalają dopasować urządzenie, do
zmieniających się wymagań. Jak na
urządzenie dla sektora operatorskiego przystało - FortiGate serii 5000 jest
zgodny ze specyfikacją ATCA - Advanced Telecommunications Computing
Architecture. Dzięki budowie modularnej łatwo jest budować klastery niezawodnościowe i/lub wydajnościowe.
W ramach rodziny urządzeń FortiGate
serii 5000 możemy wyróżnić następujące modele:
•FortiGate 5140 - 14 slotów,
•FortiGate 5050 - 5 slotów,
•FortiGate 5020 - 2 sloty.
Jako wyposażenie do urządzeń FortiGate serii 5000 można włożyć następujące typy kart (blade’ów):
Rys.9 Karta FortiGate 5003 / FortiSwitch 5003
•moduły UTM:
»» FortiGate 5001SX,
»» FortiGate 5001A,
»» FortiGate 5001FA2,
»» FortiGate 5005FA2,
•moduły przełączające:
»» FortiSwitch 5003A,
»» FortiControler 5208.
Karty FortiGate 5001SX, 5001A,
5001FA2 oraz 5005FA2 to moduły realizujące funkcjonalność UTM oraz udostępniające interfejsy sieciowe, służące
do podłączania sieci chronionych przez
system zabezpieczeń. Poniższe karty
różnią się wydajnością, ilością i rodzajem dostępnych interfejsów sieciowych
(szczegóły w tabeli nr 2, str. 12).
Rys.5 Karta FortiGate 5001SX
Karta FortiGate 5003 odpowiada za
przełączanie ruchu w ramach całego
urządzenia serii 5000 z wykorzystaniem
magistrali backplane. Backplane wykorzystywany jest do przesyłania danych
między pozostałymi kartami urządzenia oraz do synchronizacji w rozwiązaniach klastrowych - komunikacja HA
heartbeat.
Rys.10 Karta FortiControler 5208
Karta FortiControler 5208 posiada
funkcjonalność analogiczną do modułu FortiGate 5003. Jest rozwiązaniem
dedykowanym do budowania wysokowydajnych systemów antywirusowych
i antyspamowych w oparciu o rozwiązanie UTM.
Urządzenia zabezpieczające pocztę
elektroniczną
Rys.6 Karta FortiGate 5001A
Rys.2 FortiGate 5140
Rys.7 Karta FortiGate 5001FA2
Rys.3 FortiGate 5050
Rys.8 Karta FortiGate 5005FA2
Oprócz kart realizujących funkcje UTM,
w urządzeniach serii 5000 instaluje się
ponadto karty przełączające.
Kolejną kategorią urządzeń mających
zastosowanie w sieciach operatorów
oraz dużych sieciach korporacyjnych
są urządzenia, zapewniające ochronę
poczty elektronicznej. Fortinet zbudował dedykowaną rodzinę produktów,
odpowiadającą za zabezpieczanie
poczty elektronicznej - FortiMail. Rozwiązanie zbudowane jest w oparciu
o unikalną platformę (podobnie jak
FortiGate), składającą się ze sprzętu
wyposażonego w akceleratory sprzętowe FortiASIC oraz dedykowany system
operacyjny FortiOS.
Urządzenia FortiMail dokonują analizy
ruch SMTP i reagują na obecność spamu i wirusów.
Rys.4 FortiGate 5020
© SOLIDEX, 2008
9
Nowości
W trybie bramy (gateway) ruch przychodzący SMTP, zanim trafi do serwera pocztowego, jest przekazywany do
urządzenia FortiMail i poddawany skanowaniu. W takim scenariuszu możliwe
jest również skonfigurowanie serwera
pocztowego SMTP w taki sposób, aby
FortiMail był relay serwerem dla ruchu
wychodzącego SMTP.
Tryb serwera powoduje uruchomienie
na urządzeniu FortiMail podstawowych funkcjonalności serwera pocztowego SMTP. W tym trybie dostępne
są funkcjonalności tj.: Web Mail, SMTP,
POP3, IMAP. Ponadto działają na serwerze funkcje: AntiSpam, AntiVirus, archiwizacji wiadomości e-mail, logowania
i raportowania.
Urządzenia FortiMail wykorzystują wiele technik do ochrony przed spamem.
Można je podzielić na kilka kategorii,
wśród których należy wymienić:
Rys.11 Scenariusz wdrożenia urządzenia FortiMail
Urządzenia FortiMail mogą pracować
w jednym z trzech trybów:
•tryb transparentny („przezroczysty”),
•tryb bramy poczty elektronicznej
(gateway),
•tryb serwera.
Najłatwiejszym w implementacji jest
tryb transparentny („przezroczysty”).
FortiMail w tym trybie chroni serwer
poczty elektronicznej poprzez skanowanie całości ruchu SMTP wchodzą-
cego i wychodzącego z/do serwera.
Możliwe jest takie wdrożenie FortiMail
w trybie transparentnym, które nie
powoduje konieczności dokonywania
zmian w dotychczasowej konfiguracji
infrastruktury sieciowej. Urządzenia
FortiMail są jedyną platformą na rynku, działającą w pełni transparentnie w skanowanych przesyłkach e-mail nie
pozostawiają śladu skanowania przez
system antyspamowy czy antywirusowy.
Rys.12 Przykładowy schemat wdrożenia FortiMail w trybie transparentnym
• Techniki bazujące na protokole
i parametrach sesji - idealne do blokowania dużych wolumenów ruch SMTP
na poziomie parametrów połączenia.
Klasyfikacja dla tej techniki może opierać się między innymi na parametrach,
takich jak: ilość nawiązywanych połączeń SMTP w jednostce czasu, sprawdzenie adresu adresata.
• Techniki bazujące na zawartości
przesyłki - przesyłki analizowane są
pod kątem zawartości słów kluczowych, linków URI oraz załączników.
• Techniki bazujące na reputacji
nadawcy - przesyłki są klasyfikowane
ze względu na „reputację” nadawcy.
Parametr jest sprawdzany w bazie lokalnych reputacji oraz w globalnej bazie FortiGuard Network. Na podstawie
reputacji nadawca może być umieszczany na „blacklist’ach” lub „whitelist’ach”.
• Techniki bazujące na algorytmach - zawartość przesyłki skanowana
na obecność zakazanych treści, załączonych obrazów lub plików PDF.
• Techniki bazujące na „punktacji”
- wykorzystują wiele testów (m.in. skanowanie heurystyczne) w celu „przyznania punktów” dla danego nadawcy
INTEGRATOR REVIEW (iII/2008)
10
Nowości
Systemy zarządzania
i monitorowania
Fortinet posiada w swojej ofercie dedykowane urządzenia, służące do zarządzania oraz raportowania i analizy
logów.
Rys.13 Przykładowy schemat wdrożenia FortiMail w trybie bramy pocztowej
lub konkretnej przesyłki. Na podstawie
ilości punktów podejmowane są decyzje o dalszym procesowaniu.
W zależności od kierunku monitorowanego ruchu SMTP urządzenia FortiMail
mogą podejmować różne akcje w stosunku do napotkanych nadużyć.
Spośród rodziny FortiMail do zastosowań operatorskich można wskazać
modele:
•FortiMail 2000A,
•FortiMail 4000A.
Oba urządzenia posiadają identyczną
funkcjonalność, różniąc się nieznacznie
wydajnością, ilością interfejsów siecio-
wych oraz pojemnością twardych dysków (szczegóły w tabeli nr 3, str. 13).
Skalowalność rozwiązania jest liniowa.
Zwiększanie wydajności systemu uzyskuje się przez wdrażanie infrastruktury
złożonej z urządzeń odpowiedzialnych
za balansowanie ruchu (load balancery) oraz odpowiedniej ilości urządzeń
FortiMail. Zwykle stosuje się scenariusze zawierające N+M urządzeń, gdzie
N to ilość urządzeń niezbędnych do
świadczenia usługi, M to ilość urządzeń
nadmiarowych. Tego typu wdrożenia
oprócz skalowalności zapewniają również nadmiarowość.
FortiManager - jest platformą dedykowaną do zarządzania urządzeniami
systemów bezpieczeństwa Fortinet.
Dla każdej instalacji można znaleźć odpowiednio wydajny model urządzenia
(tabela nr 4). Za pomocą FortiManagera można konfigurować urządzenia
FortiGate, zarządzać uaktualnieniami
i update’ami, monitorować status urządzeń oraz generować podstawowe raporty. Ponadto FortiManger zapewnia
możliwość definiowania polityk dla
agentów FortiClient.
Urządzenia FortiManager 100 i 400A
są dedykowane dla małych instalacji,
nie wspierają urządzeń klasy FortiGate 5000. W przypadku rozwiązań operatorskich w grę wchodzą urządzenia
FortiManager 3000 i 3000B.
W łatwy sposób platformę FortiManager można zintegrować z systemem
raportowania i analizy logów - Fortinet
FortiAnalyzer.
FortiAnalyzer - platforma dedykowana do zbierania logów, poddawania
ich analizie i generowania raportów.
Umożliwia także zarządzanie bezpieczeństwem w postaci: kwarantanny,
archiwizowania zawartości, korelacji
zdarzeń, oceny podatności oraz badania ruchu sieciowego.
W zależności od wielkości instalacji
można dobrać odpowiedni model
urządzenia (tabela nr 5).
Rys.14 Standardowe akcje podejmowane względem ruchu SMTP
Podobnie jak w przypadku FortiManagera najmniejsze urządzenia FortiAnalyzer 100B i 800B są dedykowane
dla małych instalacji i nie wspierają
urządzeń klasy FortiGate 5000. W przypadku rozwiązań operatorskich w grę
wchodzą urządzenia FortiAnalyzer
2000A i 4000A.
© SOLIDEX, 2008
11
Nowości
FortiGate 5020
FortiGate 5050
FortiGate 5140
Ilość dostępnych slotów
2
5
14
Ilość modułów przełączających
max 1
max 2
max 2
Max wydajność FW
26 Gbps
65 Gbps
182 Gbps
Max wydajność VPN (IPSec)
14 Gbps
35 Gbps
98 Gbps
Ilość sesji konkurencyjnych
do 4 000 000
do 10 000 000
do 28 000 000
Tab.1 Podstawowe parametry platformy FortiGate 5000
Ilość portów SFP
FortiGate 5001A
FortiGate 5001SX
FortiGate 5001FA2
FortiGate 5005FA2
10x 1 GbE - SFP z ADM-FB8
lub 2x 10GbE - XFP z ADM-XB2
4
4
8
Ilość portów 10/100/1000 BaseT
2
4
4
0
Ilość sesji konkurencyjnych
2 000 000
1 000 000
1 000 000
1 000 000
Ilość nowych sesji / sek
50 000
20 000
20 000
30 000
Wydajność FW
2 Gbps / do 13 Gbps z ADM-XB2
4 Gbps
4 Gbps
5 Gbps
Wydajność VPN (IPSec)
800 Mbps / do 7 Gbps z modułem ADM
600 Mbps
600 Mbps
800 Mbps
Max ilość terminowanych tuneli VPN
64 000
10 000
10 000
64 000
Wydajność IPS
2 Gbps / 4 Gbps z modułem ADM
2 Gbps
2 Gbps
3 Gbps
Wydajność AntiVirus
500 Mbps
200 Mbps
200 Mbps
300 Mbps
Max ilość polityk
100 000
100 000
100 000
100 000
FortiSwitch 5003
FortiControler 5208
Ilość portów SFP
0
8+2x 10 GbE (XFP)
Ilość portów 10/100/1000BaseT
3 + 1 (zarządzanie)
1 (zarządzanie)
FortiMail 2000A
FortiMail 4000A
Tab.2 Parametry kart FortiGate serii 5000
Ilość portów 10/100/1000BaseT
4
2
Pojemność całkowita wbudowanych HDD
1,5 TB
3,0 TB
- ruting poczty
331 200
345 600
- AntiSpam
288 000
302 400
- AntiSpam + AntiVirus
280 800
295 200
Wydajność (wiadomości e-mail/h):
Tab.3 Parametry urządzeń FortiMail 2000A i 4000A
FortiManager
100
FortiManager
4000A
FortiManager
3000
FortiManager
3000B
Ilość zarządzanych urządzeń FortiGate
10
200
500
4000
Ilość wspieranych agentów FortiClient
2 500
10 000
25 000
100 000
FortiAnalyzer
100B
FortiAnalyzer
800B
FortiAnalyzer
2000A
FortiAnalyzer
4000A
Ilość zarządzanych urządzeń FortiGate
10
250
500
700
Ilość zarządzanych urządzeń FortiMail
50
100
200
200
Tab.4 Parametry urządzeń FortiManager
Bartłomiej
Rossa
Inżynier Konsultant
Tab.5 Parametry urządzeń ForiAnalyzer
INTEGRATOR REVIEW (iII/2008)
12
Nowości
IT w służbie procesów biznesowych
W obecnych realiach rynkowych rozwój przedsiębiorstwa wymaga zaawansowanych narzędzi wspomagających
procesy biznesowe. Zdecydowana większość z nich jest możliwa do zrealizowania dzięki nowoczesnej technice
oraz coraz nowszym, obszerniejszym, bardziej wymagającym aplikacjom. Wzrastający zakres ich skomplikowania
nakłada coraz większe wymagania na ich jakość, nie tylko z punktu widzenia podstawowych elementów, ale
jako rozwiązania kompleksowego.
Tempo rozwoju przedsiębiorstwa jest
zatem zależne między innymi od tego,
jak i czy sprawnie działa system teleinformatyczny, czy jest rozwijany w tempie, w jakim rośnie organizacja oraz czy
jego rozwój jest ukierunkowany zgodnie z wymaganiami przedstawionymi
przez biznes. Dlatego też niezbędne
jest dopasowanie IT do biznesu w postaci zrozumienia przez IT potrzeb biznesowych, stworzenia i zarządzania
projektami, zrozumienia wpływu usług
na potrzeby biznesowe, automatyzowania procesów i obniżania kosztów.
Coraz częściej dział IT przestaje być
traktowany jako jednostka podległa,
a staje się usługodawcą, od którego
wymaga się zachowania wysokich parametrów jakościowych. W tym celu
pracownicy muszą mieć do dyspozycji
zbiór narzędzi, umożliwiający im ścisłą
współpracę i wymianę danych.
Oprogramowanie z rodziny HP Software pozwala spojrzeć na dział IT w sposób całościowy, tzn. dostępne są narzędzia wspomagające prace działu już
na etapach projektowych, przez testy
wdrożenia aż po utrzymywanie żywego systemu, pokrywające wyżej przestawiony zakres inicjatyw.
Niżej przedstawione składowe systemów zarządzania są grupami aplikacji,
których funkcje pozwolą na zarządzania
infrastrukturą w zakładanym zakresie.
Strategia
Pierwsza grupa produktów zawiera zestaw narzędzi niezbędnych dyrektorowi IT, który pozwoli mu w sposób optymalny zarządzać projektami. Jest to
zestaw aplikacji/modułów w grupach
Project and Portfolio Management
Center oraz SOA Center. W skład grup
'IPFM^RIWS[]
-RMGNEX][]H]V-8
(STEWS[ERMI
FM^RIWYM-8
>EV^–H^ERMI
NEOSzGM–ETPMOEGNM
>EV^–H^ERMI
YWYKEQM
>EV^–H^ERMI
(EXE'IRXIV
7^G^IKА]
>EV^–H^ERMITVSNIOXEQM
MJMRERWEQM
;TVS[EH^ERMIRS[]GL
ETPMOEGNMMYTKVEHIqÐ[
>EV^–H^ERMI[]QEKERMEQM
MMGL[EPMHEGN–
>EV^–H^ERMINEOSzGM–
WXERHEV]^EGNETVSGIWY
MTVSHYOXÐ[
>EV^–H^ERMIYWYKEQM-8
&71
'IRXVEOSQTIXIRG]NRI
>EV^–H^ERMI^QMER–
OSRJMKYVEGN–M[]HERMIQ
&71
%YXSQEX]^EGNE(EXE'IRXIV
/SRWSPMHEGNE(EXE'IRXIV
&I^TMIG^IÎWX[SM^KSHRSzÃ
/SRWSPMHEGNEETPMOEGNM
/SRWSPMHEGNEW]WXIQÐ[
^EV^–H^ERME
Rys.1 Zakres inicjatyw jaki przybliżają IT do biznesu, tak aby zapewnić odpowiedni poziom jakości
aplikacji, wsparcia serwisowego oraz zarządzania danymi
wchodzą moduły aplikacyjne, pozwalające na pełne zarządzanie w czasie
rzeczywistym, takimi elementami jak:
•portfolio projektów,
•finanse,
•zasoby,
•zależności pomiędzy infrastrukturą
i aplikacjami,
•priorytety,
•realizacja.
Posiadając dokładną i przede wszystkim aktualną wiedzę na temat prowadzonych inicjatyw, dyrektor IT będzie
mógł w sposób optymalny reagować,
na dynamicznie zmieniające się potrzeby biznesowe i dopasowywać strukturę IT do nich.
Aplikacje
Kolejna grupa produktów to narzędzia
wspomagające procesy realizacji projektów poprzez zarządzanie aspektami
jakościowymi, wydajnościowymi oraz
bezpieczeństwa tworzonych aplikacji.
Quality Center to grupa aplikacji wspomagających zagadnienia z zakresu
testowania. Dzięki nim możliwe jest
przeprowadzenie zautomatyzowanych
testów aplikacji pod kątem poprawności technicznej oraz zgodności z wymaganiami biznesowymi. Zastosowanie
Quality Center pozwala na znaczne
obniżenie kosztów, związanych z wdrożeniem, dzięki możliwości wychwytywania błędów już na poziomie testów,
a nawet na etapie założeń. Powtarzalność testów pozwala na obiektywną
ocenę jakości poprawek. Automatyzacja powoduje znacznie mniejsze zaangażowanie zasobów, a co za tym idzie
pracownicy firmy mają więcej czasu na
pracę nad rozwojem systemu.
© SOLIDEX, 2008
13
Nowości
&YWMRIWWSYXGSQIW
786%8)+=
%440-'%8-327
5YEPMX]
1EREKIQIRX
4VSNIGX
4SVXJSPMS
1EREKIQIRX
'IRXIV
'-33JJMGI
73%
'IRXIV
'833JJMGI
5YEPMX]
'IRXIV
4IVJSVQERGI
'IRXIV
%TTPMGEXMSR
7IGYVMX]'IRXIV
34)6%8-327
&YWMRIWW7IVZMGI
1EREKIQIRX
&YWMRIWW7IVZMGI
%YXSQEXMSR
-87IVZMGI
1EREKIQIRX
3TIVEXMSRW3VGLIWXVEXMSR
&YWMRIWW
%ZEMPEFMPMX]
'IRXIV
'PMIRX
%YXSQEXMSR
'IRXIV
3TIVEXMSRW
'IRXIV
2IX[SVO
1EREKIQIRX
'IRXIV
(EXE'IRXIV
%YXSQEXMSR
'IRXIV
7IVZMGI
1EREKIQIRX
'IRXIV
9RMZIVWEP'1(&
7%43VEGPI73%.))2IX
Rys.2 Portfolio produktów HP Software z podziałem na grupy funkcjonalne
Poprawność działania aplikacji z technicznego oraz biznesowego punktu widzenia nie gwarantuje sukcesu
podczas implementacji w środowisku
produkcyjnym, ze względu na brak testów wydajnościowych. Rozwiązaniem
problemu jest zastosowanie aplikacji
z grupy Performance Center. Posiadają
one możliwości symulacji użytkowników oraz zabierają i raportują informacje o wydajności poszczególnych
elementów, identyfikując wąskie gar-
zaawansowane mechanizmy oparte
o technologię Web 2.0, umożliwiają
wykrycie słabości niemożliwych do
identyfikacji przez tradycyjne skanery.
Działanie
Ostatnią a jednocześnie najszerszą grupą produktów są rozwiązania dedykowane do zarządzania i monitorowania
już działających rozwiązań z zakresu
aplikacji, poszczególnych podsyste-
Każde przedsiębiorstwo jest inne. Jednak zależność
pomiędzy sprawnym systemem teleinformatycznym
a biznesem - we wszystkich jest taka sama, dlatego trzeba
dopasować do niego system IT.
dła. Dzięki możliwości symulacji setek,
a nawet tysięcy użytkowników, możliwe jest wczesne wykrycie problemów,
związanych ze skalowalnością aplikacji
i usunięcie ich już na poziomie testów.
Nie bez znaczenia jest również bezpieczeństwo systemu. Aplikacje z grupy
Security Center pozwalają na automatyczne testowanie w poszukiwaniu błędów bezpieczeństwa. Dostępne moduł
pozwalają na wykonywanie testów już
na poziomie prac nad aplikacją, pozwalając na uniknięcie olbrzymich kosztów
związanych z wprowadzaniem zmian
na etapie produkcyjnym. Ponadto
mów, infrastruktury sieciowej oraz
użytkowników.
Business Availability Center, Operations
Center oraz Network Management
Center to obszerny zbiór aplikacji oraz
modułów umożliwiających monitorowanie systemów pod kątem istotności
dla procesów biznesowych, dostępności pojedynczych usług, a także stanu
fizycznych elementów infrastruktury
sieciowej. Aplikacje dostępne w wymienionych zbiorach pozwalają na monitorowanie elementów infrastruktury
IT, pod kątem wydajności w kontekście
wpływu na wewnętrznych i zewnętrznych Klientów, z możliwością dogłębnej
analizy problemu aż do pojedynczych
elementów, jak baza danych czy nawet
dostępność pamięci. Dostępne są możliwości monitorowania infrastruktury
z poziomu pojedynczego urządzenia
sieciowego, jak i całej usługi w relacji
end-to-end. Całość uzupełniają moduły generujące raporty z niemal dowolnych monitorowanych parametrów,
dzięki którym możliwa jest prosta analiza infrastruktury pod kątem przyszłych
potrzeb, a co za tym idzie precyzyjne
wytyczne do przyszłych projektów
i priorytety pomiędzy nimi.
Elementami uzupełniającymi zarządzanie infrastrukturą są aplikacje dedykowane dla pomocy końcowym użytkownikom.
Data Center Automation Center to zestaw aplikacji, których zadaniem jest
zarządzanie w sposób możliwie automatyczny wszystkimi aspektami w Data
Center, wliczając w to urządzenia sieciowe, serwery, macierze dyskowe, biblioteki taśmowe i aplikacje. Natomiast
Service Management Center udostępni
wydajne narzędzia do raportowania,
analizowania oraz zarządzania kompetencjami. Ponadto aplikacja ta umożliwia szczegółowe zarządzania infrastrukturą fizyczną w zakresie inwentaryzacji
sprzętu i oprogramowania.
Jak sprostać wymaganiom biznesu?
Każde przedsiębiorstwo jest inne. Jednak zależność pomiędzy sprawnym
systemem teleinformatycznym a biznesem - we wszystkich jest taka sama,
dlatego trzeba dopasować do niego
system IT. Aby to zrobić, konieczny jest
zestaw narzędzi, umożliwiający szerokie a jednocześnie bardzo szczegółowe
spojrzenie na całość infrastruktury, do
czego niezbędny będzie zestaw narzędzi przedstawiony powyżej.
Krzysztof Lembas
Kierownik Zespołu
Konsultantów
INTEGRATOR REVIEW (iII/2008)
14
Nowości
Innowacja w zabezpieczeniu danych – Cisco GET VPN
Dzisiejsze aplikacje sieciowe bazujące na transmisji głosu oraz obrazu, przyspieszają potrzebę projektowania
rozległych sieci WAN, umożliwiających bezpośrednią komunikację pomiędzy oddziałami danego
przedsiębiorstwa oraz zapewnieniem odpowiedniego poziomu jakości przesyłanego ruchu (QoS - Quality of
Service). Rozproszona natura w/w aplikacji wpływa na zwiększoną potrzebę skalowalności projektowanych
rozwiązań. Współczesne przedsiębiorstwa oczekują od technologii sieci rozległych WAN kompromisu pomiędzy
zapewnieniem odpowiedniej jakości transmisji danych a zagwarantowaniem bezpieczeństwa przesyłanych
informacji.
W miarę, gdy wzrasta potrzeba zabezpieczenia przekazywanych danych,
niekiedy wręcz narzucana odgórnymi przepisami (banki, instytucje rządowe), Cisco® GET (Group Encrypted
Transport) VPN eliminuje konieczność
określania kompromisu pomiędzy inte-
ligentną siecią oraz bezpieczeństwem
transportu danych.
Wraz z wprowadzeniem technologii
GET, Cisco® oferuje nową kategorię
sieci VPN – tunnel-less VPN, która eliminuje konieczność zestawiania tuneli
punkt-punkt pomiędzy poszczególnymi oddziałami danego przedsiębiorstwa. GET VPN oferuje nowy standard
modelu bezpieczeństwa, bazujący na
koncepcji „zaufanych” członków zdefiniowanej grupy.
Poprzez zastosowanie metody zaufanych grup, uzyskujemy możliwość
projektowania skalowalnych i bezpiecznych sieci przy jednoczesnym
zachowaniu jej inteligentnych właściwości (tj. QoS, routing oraz multicast),
krytycznych dla jakości połączeń głosowych oraz wizyjnych.
GET VPN umożliwia bezpieczne przesyłanie danych w różnorodnych środowiskach WAN (IP, MPLS) bez potrzeby tworzenia kanałów point-to-point
(P2P), minimalizując tym samym opóźnienia transmisji głosu oraz wideo.
GET ułatwia zabezpieczanie dużych
sieci L2 oraz MPLS, które wymagają
częściowej (partial) lub całkowitej (fullmesh) siatki połączeń pomiędzy urządzeniami brzegowymi poszczególnych
oddziałów danego przedsiębiorstwa.
Sieci MPLS VPN, wykorzystujące ten
rodzaj ekrypcji, są sieciami wysoko skalowalnymi, łatwo zarządzanymi oraz
spełniającymi narzucone przez rząd
wymagania, dotyczące szyfrowania.
Rys.1 Porównanie właściwości sieci zbudowanej w oparciu o standardowe połączenia punkt-punkt
IPSec oraz technologię GET VPN
Elastyczna natura technologii GET
umożliwia świadomym bezpieczeństwa przedsiębiorstwom, zarówno zarządzanie politykami bezpieczeństwa
swojej sieci WAN, jak również przekaza-
© SOLIDEX, 2008
15
Nowości
nie usługi szyfrowania do ich własnych
operatorów telekomunikacyjnych SP
(Service Provider).
Kluczowe właściwości technologii
GET VPN
Poniżej zaprezentowano kilka kluczowych właściwości technologii GET
VPN.
GDOI (Group Domain Of Interpretation)
- protokół zarządzania kluczami, odpowiedzialny za ustanawianie wspólnej
polityki bezpieczeństwa (IPSec SA) pomiędzy routerami będącymi członkami
tej samej „zaufanej” grupy.
Centralny serwer kluczy (Key Server)
– router odpowiedzialny za:
•rozsyłanie kluczy bezpieczeństwa
oraz cykliczne ich odnawianie (wysyłanie nowych przed wygaśnięciem
starych),
•dystrybucję polityk bezpieczeństwa
do grona routerów będących członkami tej samej zaufanej grupy.
Architektura GET VPN
GET VPN składa się z trzech komponentów:
•protokołu zarządzania oraz dystrybucji kluczy (GDOI),
•serwera kluczy (key server),
•członków zdefiniowanych w ramach
GDOI grup (group members).
GET VPN jest zaawansowanym rozwiązaniem, umożliwiającym grupową
(multicast rekeying) oraz pojedynczą
(unicast rekeying) dystrybucję kluczy
poprzez prywatną sieć WAN. Multicast
rekeying oraz GET VPN bazują na protokole GDOI zdefiniowanym przez grupę IETF zgodnym ze specyfikacją RFC
3547.
GET VPN łączy w sobie zalety protokołów GDOI oraz IPSec w celu zapewnienia efektywnego sposobu szyfrowania
ruchu IP typu multicast oraz unicast.
która wyjaśnia, w jaki sposób jednostki
używać będą systemów zabezpieczeń
do bezpiecznej komunikacji.
Group Member
Członkowie danej grupy rejestrują się
do centralnego serwera (key server)
w celu otrzymania odpowiednich polityk bezpieczeństwa zawartych w IPSec
SA, koniecznych do określenia sposobu
komunikacji z pozostałymi członkami
określonej grupy. Router wysyła do
centralnego serwera identyfikator group ID – numer grupy, do której chciałby
przystąpić. Serwer, w ramach odpowiedzi, wysyła do danego routera zdefiniowane dla żądanej grupy polityki
bezpieczeństwa oraz klucze, umożliwiające poprawną i bezpieczną komunikację z pozostałymi członkami danej
domeny.
GET VPN jest wyposażony w mechanizm okresowej zmiany kluczy (rekey
messages), centralny serwer zaś jest
IP Header Preservation
– zachowanie oryginalnego nagłówka
IP na zewnątrz pakietu IPSec.
Redundancja Centralnego Serwera
kluczy (Cooperative Key Server)
– możliwość implementacji do 8 serwerów kluczy w ramach jednej domeny.
Baza danych głównego routera, zawierająca klucze oraz polityki bezpieczeństwa, synchronizowana z pozostałymi,
zapasowymi serwerami kluczy.
Wsparcie dla właściwości typu „antireplay”
– funkcjonalność zabezpieczająca
sieć przed atakami typu „man-in-themiddle”.
Wsparcie dla szyfrowania
– możliwość stosowania algorytmów
szyfrowania, takich jak: DES (Data Encryption Standard), 3DES (Triple DES)
oraz AES (Advanced Encryption Standard).
Rys.2 Koncepcja technologii GET VPN oraz relacje pomiędzy poszczególnymi jej elementami
GDOI (Group Domain Of Interpretation)
GDOI zasadniczo pełni rolę protokołu
zarządzania oraz dystrybucji kluczy.
Operuje on pomiędzy członkami grupy
a serwerem kluczy (GCKS - Group Controller or Key Server), odpowiedzialnym
za tworzenie logicznych połączeń (IPSec SA) między uwierzytelnioną grupą
urządzeń, należących do jednej zaufanej strefy.
Security Association (SA) jest relacją pomiędzy dwoma lub więcej jednostkami,
odpowiedzialny za dostarczanie nowych kluczy (przed wygaśnięciem starych) do wszystkim członków grupy.
Członkowie danej grupy zapewniają
usługi szyfrowania jedynie dla interesującego ich ruchu (ruch, który jest
przeznaczony do zaszyfrowania/zabezpieczenia przez protokół IPSec).
Key Server
Centralny serwer odpowiedzialny
jest za utrzymywanie polityk bezpieczeństwa, tworzenie oraz zarządzanie
kluczami danej grupy. Komunikacja
INTEGRATOR REVIEW (iII/2008)
16
Nowości
ma gwarantować, iż członkowie określonej grupy są w ciągłym posiadaniu
ważnych kluczy.
Rys.3 Przepływ komunikacji wymagany w celu możliwości rejestracji nowego członka do
zdefiniowanej uprzednio grupy
pomiędzy serwerem a członkami zaufanego grona jest komunikacją zaszyfrowaną.
Występują dwa rodzaje kluczy bezpieczeństwa, jakimi posługuje się centralny router:
•Key Encryption Key (KEK),
•Traffic Encryption Key (TEK).
KEK jest odpowiedzialny za szyfrowanie wiadomości mechanizmów okresowej zmiany kluczy (rekey messages).
Klucz TEK jest dystrybuowany do
wszystkich członków danej strefy. TEK
(IPSec SA) jest wykorzystywany w celu
umożliwienia bezpiecznej komunikacji
pomiędzy wszystkimi członkami danej
grupy.
dokonuje autentykacji oraz autoryzacji
członków, a następnie rozsyła polityki IPSec oraz odpowiednie klucze konieczne do szyfrowania/deszyfrowania
multicastowych pakietów IP.
2. Członkowie grupy wymieniają między sobą ruch multicastowy, zaszyfrowany uprzednio przy użyciu protokołu
IPSec.
3. W razie potrzeby serwer kluczy „wypycha” wiadomość „rekey message”
do wszystkich członków grupy. Wiadomość ta zawiera nowe polityki protokołu IPSec oraz klucze, jakie zostaną
użyte w przypadku, gdy „stare” IPSec
SA ulegną przedawnieniu. Stosowanie
mechanizmu okresowej zmiany kluczy
Centralny serwer przechowuje tablice,
zawierającą adresy IP wszystkich członków utworzonych na serwerze grup.
W momencie rejestracji nowego członka danej strefy, key server dodaje jego
adres IP do tablicy, zawierającej adresy
pozostałych członków zaufanej domeny, z którymi ten router zamierza nawiązać bezpieczną komunikację. Dzięki
temu serwer kluczy posiada możliwość
monitorowania stanu wszystkich aktywnych członków zdefiniowanych
grup. Jeden router może być członkiem
wielu grup.
GET VPN Header preservation
Rysunek nr 5 przedstawia porównanie
sposobu działania szyfrowania danych
za pośrednictwem standardowej metody trybu tunelowego IPSec oraz metody header preservation stosowanej
przez GET VPN. W trybie tunelowym
oryginalny datagram wejściowy IP jest
w całości kodowany do nowego pakietu IP. Źródłowy router szyfruje pakiety
i wysyła je wzdłuż tunelu IPSec. Router
docelowy deszyfruje oryginalny datagram IP i przesyła go do docelowego
miejsca w systemie. Tym sposobem
także oryginalny nagłówek IP - a nie
tylko segment danych - podlega ochronie IPSec.
Domyślnie żywotność (lifetime) kluczy
KEK oraz TEK wynosi 86400 sekund
(24h). Wartości te są konfigurowane jedynie na centralnym serwerze. Zalecane jest, aby wartość parametru lifetime
klucza KEK była trzykrotnie większa niż
wartość tego samego parametru klucza TEK.
Klucze KEK oraz TEK mogą być dystrybuowane przy wykorzystaniu technologii multicastowych, jak i unicastowych.
1. Członkowie grupy rejestrują się do
centralnego serwera. Serwer kluczy
Rys.4 Przepływ komunikacji pomiędzy serwerem kluczy a członkami jednej domeny
© SOLIDEX, 2008
17
Nowości
czeństwa do każdego zarejestrowanego członka. Dzięki temu uzyskujemy
możliwość rozłożenia zapytań GDOI
(load balancing) do wszystkich key serwerów, ponieważ każdy serwer świadczy usługi zarejestrowanym w swojej
bazie członkom grupy.
Rys.5 Porównanie szyfrowania Tunnel-mode IPSec oraz GET VPN
Tryb tunelowy stanowi podstawę dedykowanych VPN’ów pomiędzy urządzeniami typu security gateways.
GET VPN wykorzystuje natomiast technikę zwaną IP header preservation – zachowanie oryginalnego nagłówka IP.
Oznacza to, iż pakiety chronione protokołem IPSec zawierają w zewnętrznym
nagłówku IP oryginalny adres nadawcy
oraz adresata - zamiast adresów urządzeń brzegowych, na których terminowany byłby tunel IPSec (jak to ma
miejsce w standardowym trybie IPSec
Tunnel Mode). Zachowanie oryginalnych adresów IP w pełni umożliwia
technologii GET VPN wykorzystanie
funkcjonalności protokołów routingu,
występujących w sieciach rdzeniowych,
zarówno operatorów telekomunikacyjnych, jak i wielu współczesnych przedsiębiorstw. Technika ta daje możliwość
dostarczenia pakietów do dowolnego
urządzenia brzegowego w sieci, które
rozgłasza daną trasę do adresu docelowego. Każdy nadawca oraz adresat odpowiadający zdefiniowanym dla danej
grupy politykom bezpieczeństwa, będzie traktowany w identyczny sposób.
W przypadku, gdy połączenie pomiędzy dwoma końcówkami tunelu IPSec
będzie niedostępne, technika header
preservation pomaga również zapobiegać sytuacji powstawania tzw. czarnych
dziur („black hole”). Ponadto wykorzystanie techniki zachowania oryginalnego nagłówka IP pozwala również dziedziczyć właściwości QoS oraz multicast
autentycznego pakietu IP.
Technika header preservation zachowuje ciągłość routingu w całej przestrzeni adresacji IP sieci WAN danego
przedsiębiorstwa. Innymi słowy adres
IP użytkownika końcowego jest widoczny w całej sieci WAN (w przypadku
sieci MPLS kwestia odnosi się do urządzeń brzegowych CE). W związku z powyższym stosowanie technologii GET
VPN jest właściwe jedynie, gdy sieci
rozległe pełnią rolę sieci „prywatnych”
(np. w sieciach MPLS).
W przypadku sieci WAN, zbudowanych
w oparciu o sieć Internet, wymagane
jest użycie GET VPN wraz z technologią DMVPN (Dynamic Multipoint VPN)
ze względu na stosowanie publicznej
adresacji IP.
Niezawodność oraz redundancja
Rys.6 Zastosowanie redundancji serwera
centralnego w sieci GET VPN
GET VPN umożliwia budowę sieci,
w której występować może więcej niż
jeden key server. Zastosowanie wielu serwerów kluczy w ramach jednej
domeny zapewnia wysoki poziom dostępności oraz szybki czas odtworzenia
topologii sieci w przypadku, gdy główny serwer zostanie uszkodzony.
Każdy serwer w ramach jednej grupy
dystrybuuje spójną politykę bezpie-
Główny serwer kluczy jest odpowiedzialny za tworzenie oraz dystrybucję
polityk bezpieczeństwa do wszystkich
grup. Serwer ten, w celu podtrzymania synchronizacji, cyklicznie wysyła
informacje o grupach do każdego z pozostałych zapasowych key serwerów.
Jeżeli redundantne serwery nie otrzymają cykliczne wysyłanej aktualizacji,
wówczas kontaktują się one z serwerem głównym, z prośbą o ponowne
rozesłanie brakujących danych o topologii sieci GET VPN. Zapasowe serwery
traktują serwer główny za nieosiągalny
(„dead”), jeżeli nie otrzymają w/w aktualizacji w określonym przedziale czasu.
W momencie, gdy na serwerze głównym zostaną utworzone nowe polityki
bezpieczeństwa, bez względu na to, do
którego serwera kluczy dany członek
grupy został zarejestrowany, serwer
główny jest odpowiedzialny za rozesłanie nowych kluczy (rekey messages) do
wszystkich członków grupy GDOI.
Każdy serwer posiada swój własny priorytet. Wartość ta jest konfigurowana
przy użyciu interfejsu CLI (Command
Line Interface) routera. Serwer kluczy
z najwyższym priorytetem staje się
serwerem głównym. W przypadku, gdy
wartość priorytetów wszystkich key
serwerów jest taka sama, wówczas router z najwyższym adresem IP zostaje
wybrany nadrzędną jednostką w strukturze.
Różnice pomiędzy DMVPN oraz GET
VPN
Wielu Klientów wierzy, iż DMVPN oraz
GET VPN są rywalizującymi ze sobą
technologiami. Oczywiście nie jest to
prawdą. Dynamic Multipoint VPN oraz
Group Encrypted Transport są uzupełniającymi się technologiami Cisco. GET
INTEGRATOR REVIEW (iII/2008)
18
Nowości
VPN może być lekarstwem na występowanie dużych opóźnień w przypadku
implementacji usług głosowych oraz
wizyjnych w sieciach VPN zbudowanych w oparciu o tunele IPSec P2P.
DMVPN umożliwia budowę topologii
typu spoke-to-hub oraz spoke-to-spoke przy zastosowaniu protokołu multipoint GRE (mGRE) oraz funkcji NHRP
(Next Hop Resolution Protocol). Dla
połączeń typu spoke-to-spoke, router
chcący nawiązać połączenie, musi wysłać do jednostki centralnej (hub) zapytanie rozwiązania NHRP w celu zestawienia tunelu z żądanym routerem
typu spoke. Zanim zostanie zbudowany dynamiczny tunel, cały ruch jest
przesyłany poprzez lokalizację typu
hub. Zestawianie tuneli DMVPN typu
spoke-to-spoke może być powolne, ze
względu na zapytania NHRP do routera
lokalizacji centralnej. W celu otrzymania odpowiedzi ze strony adresata, ta
sama procedura jest inicjowana przez
destination spoke, zwiększając tym samym sumaryczne opóźnienie.
Poprzez zastosowanie rozwiązania Cisco GET VPN, opóźnienie spowodowane negocjacją tuneli IPSec jest eliminowane ze względu na to, iż połączenia
pomiędzy lokalizacjami można uważać
za statyczne.
Dostępność platform
Poniżej tabela uwzględniająca urządzenia Cisco, na których istnieje możliwość uruchomienia funkcjonalności
GET VPN.
IOS Advanced Security 12.4(15)T jest
najniższą rekomendowaną przez producenta wersją oprogramowania na
wskazane platformy warstwy trzeciej.
Tab. 1 IOS Platform Support
Kto i kiedy powinien być
zainteresowany technologią GET
VPN ?
Klienci zainteresowani wdrożeniem
rozwiązań VPN dla topologii hub-andspoke mogą wdrożyć rozwiązania połączeń tunelowych:
Implementacją technologii Cisco GET
VPN powinni być zainteresowani Klienci, oczekujący szyfrowania przesyłanych danych:
•poprzez tradycyjne sieci WAN, ale
nie budowane w oparciu o publiczną
sieć Internet,
•typu punkt-punkt IPSec,
•Cisco Enhanced Easy VPN z virtual
tunnel interfaces (VTIs),
•Cisco Dynamic Multipoint VPN
(DMVPN).
•przy konieczności zachowania
wykorzystywanych w firmie aplikacji,
pracujących w oparciu o technologię mulicastową oraz dynamiczny
routing,
Klienci
potrzebujący
połączeń
typu partial-mesh, spoke-to-spoke
VPN, powinni wdrożyć rozwiązanie
DMVPN wraz z GET VPN. Identyczna
rekomendacja związana jest z budową sieci, umożliwiających realizację
ruchu typu multicast oraz możliwość
realizacji dynamicznych protokołów
routingu poprzez sieć publiczną Internet.
•poprzez sieci IP MPLS.
Marek Mews
Inżynier Konsultant
© SOLIDEX, 2008
19
technologie
Świat technologii Cisco Unified Communications 7.0
Świat technologii związanych z wymianą informacji podlega ciągłej ewolucji. Pojawiają się nowe wersje
obecnych na rynku produktów oraz zupełnie nowe rozwiązania, spełniające wymagania i oczekiwania
Klientów. Wraz z rozwojem systemów Unified Communications firmy Cisco Systems daje się zauważyć pewne
tendencje, które pokazują, w jakim kierunku zmierza obecnie świat w zakresie rozwiązań komunikacyjnych.
Poniższy artykuł opisuje główne zmiany oraz nowości, jakie znalazły się w ofercie firmy Cisco Systems wraz
z odsłoną najnowszej wersji 7.0.
Nie rewolucja lecz ewolucja - czyli
Cisco Unified Communications
Manager 7.0
System CallManager a obecnie Communications Manager zdążył na dobre
zadomowić się na rynku rozwiązań telefonii IP. Firma Cisco prezentując swoje rozwiązanie, stawia na harmonijny
rozwój i zwiększanie niezawodności
oraz funkcjonalności swojego produktu. Obecna wersja systemu wynika
wprost z wersji 6.x, wprowadza jednak
sporo zmian oraz usprawnień zarówno
we „wnętrzu” systemu, jak i od strony
czysto funkcjonalnej.
Główne zmiany w architekturze systemu to:
•nowa wersja systemu operacyjnego,
•zmiany w strukturze bazy danych,
•kompresja plików (trace’y).
Wszystkie wyżej wymienione usprawnienia mają za zadanie podnieść wydajność aplikacji. Zmiany wprowadzone
w strukturach baz danych pozwoliły na
zmniejszenie wymagań, dotyczących
pamięci operacyjnej.
Nowe funkcje w systemie
Rozwój rynku stawia przed producentami wymaganie ciągłej modyfikacji
produktów oraz wprowadzania nowych usług. Firma Cisco Systems zaimplementowała w najnowszej wersji
Communications Managera 7.0 całą
gamę nowych funkcji, które zostały
wymienione poniżej.
Local Route Groups
Dla instalacji, w których uruchamiamy
więcej niż jedną lokalizację, wdrożenie
planu numeracyjnego zaczyna stawać
się czasochłonnym i uciążliwym zadaniem. Sytuacja taka jest szczególnie
mocno zauważalna - w przypadku dużej liczby lokalizacji z rozproszonym
stykiem z publiczną siecią telefoniczną
(gateway’e w każdej z lokalizacji). Wów-
tions Manager potrafi rozpoznać i obsłużyć znak „+”, co znacząco podnosi
komfort obsługi numerów zapisanych
w standardowym formacie E.164.
Intelligent Bridge Selection
Wprowadzona funkcja pozwala systemowi na „inteligentny” wybór mostka z listy
MRGL. Ponadto daje możliwość oszczędzenia zasobów wideo w sytuacji, gdy
Świat technologii związanych z wymianą informacji
podlega ciągłej ewolucji. Pojawiają się nowe wersje
obecnych na rynku produktów oraz zupełnie nowe
rozwiązania, spełniające wymagania oraz oczekiwania
Klientów.
czas użycie Local Route Group pozwala
w znacznym stopniu uprościć budowę
planu numeracyjnego (CSS, Partycje).
Local Router Group przypisywany jest
do Device Pool’i, co pozwala Unified
Communications Manager’owi traktować gateway’e bardziej jak serwis,
a tym samym przyczynia się do zmniejszenia liczby niezbędnych route pattern’ów partycji oraz CSS.
Wsparcie dla symbolu „+” i pełna obsługa numerów w standardzie E.164
Integracja z innymi systemami oraz
potrzeba uproszczenia planu numeracyjnego zaowocowała zaimplementowaniem obsługi znaku „+” w planie
numeracyjnym. Obecnie Communica-
któryś z uczestników nie posiada możliwości transmitowania strumienia wideo.
Mobility ToD Routing
Dostępna we wcześniejszej wersji funkcjonalność Mobility (Single Number Reach) została wzbogacona o możliwość
modelowania jej działania (zezwolenie
lub nie - na dzwonienie do określonej lokalizacji) w zależności od parametru ToD.
Directed CallPark
Funkcja ta pozwala na podjęcie połączenia przychodzącego na inny numer
poprzez aktywację funkcji Pickup (klawisz Softkey) i wpisanie numeru linii
urządzenia dzwoniącego.
INTEGRATOR REVIEW (iII/2008)
20
technologie
Nowy telefon w ofercie – CP-7925G
Nowością w ofercie firmy Cisco Systems
jest telefon bezprzewodowy CP-7925.
Telefon ten bazuje na modelu CP-7921,
jednak wyróżnia się następującymi cechami:
•współpraca z Bluetooth’em 2.0,
•obudowa odporna na zabrudzenia,
pył oraz wodę (standard IP54),
•bateria o zwiększonej żywotności,
•wbudowany tryb głośno-mówiący.
Rys.1 Telefon CP-7925
Nowa wersja firmware’u dla telefonów IP 8.4(1)
W najnowszej wersji firmware’u 8.4(1)
wprowadzono kilka ciekawych usprawnień. Poprawiono sposób wykorzystania przestrzeni wyświetlacza telefonu
podczas użytkowania typowych funkcji (przeźroczysty pasek przypisany
do klawisza Speed-dial, optymalizacja
wielkości okien wyświetlanych podczas wybierania numeru).
Wsparcie dla kodeków
i G.729b na traktach SIP
G.729a
Wersja 7.0 systemu Cisco Unified Communications Manager umożliwia użycie
kodeka g.729a jak i g.729b na traktach
SIP. Zaznaczyć należy, że zastosowanie
tych kodeków wymaga implementacji
sprzętowego zasobu MTP.
Synchronizacja z katalogiem LDAP
Wersja 7.0 systemu Cisco Unified Communications Manager wspiera następujące typy katalogów dla potrzeb
synchronizacji:
•Microsoft Active Directory
2000,2003,2008,
•iPlanet Directory Server 5.1,
•Sun ONE Directory Server 5.2,
•Sun Java System Directory Server 6.0,
6.1.
nia, dotyczące funkcjonalności BLF, czyli
Busy Lamp Field. Możliwe są następujące „nowe” stany przycisków typu BLF:
•Alerting – pokazywany jest stan
„ringing” monitorowanej linii,
•Pickup Action – możliwość przypisania akcji typu Pick-Up do przycisku typu BLF (akcja możliwa jest
do przeprowadzenia w momencie
wystąpienia stanu typu „alerting” na
monitorowanej linii).
Bramki analogowe VG202 i VG204:
Wszędzie nowości – czyli zmiany
w wersji 7.0 w kluczowych produktach UC
Bramka dostępna w ofercie Cisco Systems - czyli ATA186, doczekała się następcy w postaci urządzenia VG202
i VG204. Wprowadzenie nowych urządzeń podyktowane było koniecznością
odświeżenia linii produktowej oraz
wprowadzeniem istotnych usprawnień
do samego produktu.
Prezentując system Cisco Unified Communications Manager 7.0, firma Cisco
Systems wprowadziła również nowości
w innych kluczowych komponentach
systemu. Dodatkowo „wyrównaniu”
uległa numeracja wersji systemu. Obecnie wszystkie aplikacje środowiska UC
dostępne są w wersji 7.0.
Nowe urządzenia charakteryzują się
następującymi parametrami:
W poniższych punktach przedstawiono
główne zmiany, jakie zaszły w nowych
wersjach oferowanych do tej pory rozwiązań.
•urządzenie 2 lub 4 portowe (podłączenie urządzeń analogowych,
takich jak telefony oraz faksy),
•wsparcie dla protokołu T.38.
Secure-Indication Tone
W przypadku, gdy połączenie jest bezpieczne, Communications Manager
7.0(1) umożliwia odegranie tonu głosowego obu uczestnikom rozmowy, w celu
poinformowania ich o tym fakcie.
Trzeba jednak mieć na uwadze, że niektóre funkcje systemu, takie jak np.:
•konferencje,
•shared line,
•extension mobility,
•join across lines,
są niedostępne w przypadku, gdy używamy połączeń bezpiecznych.
BLF – Upgrade
W Cisco Unified Communications Mamanger 7.0 wprowadzano usprawnie-
◊ Cisco Unified Presence Server 7.0 /
Personal Communicator 7.0
Bardzo wiele ciekawych zmian zaszło we flagowym produkcie Cisco,
czyli CUPS/CUPC 7.0. Dzięki komunikatorowi dostarczonemu przez firmę Cisco można prowadzić skuteczną komunikację za pomocą wielu
kanałów (WEB konferencje/ Audio
/ Wideo). Klient poprzez integracje
z innymi dostarczanymi przez Cisco aplikacjami pozwala na łatwą
i efektywną komunikacje. Dodatkowo sama aplikacji CUPS pozwala
na integracje z innymi systemami
SIP/SIMPLE, np. Microsoft OCS. Integracja dotyczy wymiany informacji
o dostępności oraz samego przekazywania rozmów. Wraz z wersją 7.0
tego produktu, wprowadzono sporo
zmian w samym kliencie CUPC oraz
we właściwej aplikacji CUPS. Zmiany
w najnowszej wersji systemu opisano w poniższych punktach:
© SOLIDEX, 2008
21
technologie
•Wprowadzono zmiany w architekturze wewnętrznej systemu. Duże
zmiany zaszły we wspieranych
modelach projektowych. W chwili
obecnej klaster może obsłużyć maksymalnie do 30000 użytkowników
w trybie pracy klasycznym, czyli tzw.
Cisco Unified Communications Mode
oraz do 10000 użytkowników w trybie pracy Microsoft Office Interoperability Mode.
•Współpraca z kalendarzem Microsoft Outlook (Microsoft Exchange
2003/2007) – funkcja pozwala na
publikacje statusu free/busy w aplikacji kalendarza.
•Cisco Unified Presence Federation
– funkcja pozwala na bezpieczną
komunikację w zakresie IM oraz
wymiany informacji o dostępności
pomiędzy środowiskami znajdującymi się w różnych sieciach (dotyczy to
również współpracy z LCS 2005/ OCS
2007).
•System Cisco Unified Presence Server
działa obecnie na następujących
platformach sprzętowych:
»»MCS-7816 (do 500 użytkowników),
»»MCS-7825 (do 1000 użytkowników),
»»MCS-7835 (do 2500 użytkowników),
»»MCS-7845 (do 5000 użytkowników).
•W wersji 7.0 wprowadzono możliwość wymiany informacji o dostępności z klientem Cisco Unified Mobile
Communicator.
•Zmiany zaszły również w kliencie
systemu - czyli w aplikacji CUPC
7.0. Poniżej przedstawiono główne
zmiany:
»»Możliwość tworzenia/dodawania
personalnych kontaktów (tzw.
Buddy list).
»»Wprowadzono możliwość bezpiecznej wymiany komunikatów
(Secure Messaging).
»»Klient może zostać zminimalizowany do paska zadań (system tray).
Ikona na pasku zawiera również
informacje o statusie użytkownika.
»»Kontakty mogą być blokowane/
zastrzegane.
»»Status DND jest synchronizowany
ze statusem DND ustawionym
w systemie Cisco Unified Communications Manager.
◊ Cisco Unified MeetingPlace 7.0
System Cisco Meeting Place jest flagowym produktem firmy Cisco Systems
przeznaczonym do pracy grupowej
oraz do Audio/Web/Video Konferencji.
W najnowszej odsłonie główne zmiany
dotknęły samą architekturę rozwiązania. System do wersji 6.x jako mostka
audio używał dedykowanego mostka
audio-konferencyjnego. W wersji 7.0
jako mostek audio wykorzystywany
jest mostek wideo z serii IPVC, wyposażony w specjalne funkcje.
◊ Cisco Unified Communications Widgets
Cisco Unified Communications Widgets
jest ciekawą inicjatywą Cisco Systems,
polegającą na publikacji ciekawych dodatków, zwiększających funkcjonalność
systemu. W chwili obecnej możliwe do
wykorzystania są następujące aplikacje:
•Phone Designer - aplikacja pozwala
użytkownikowi w prosty sposób
dostosować telefon IP do swoich
wymagań oraz upodobań. Za pomocą tego dodatku można w prosty
sposób edytować obrazy, które
mają służyć jako tapety dla telefonu
IP oraz tworzyć własne ulubione
dzwonki (można konwertować pliki
MP3). Aplikacja pozwala na podgląd
wykonanej tapety lub na odsłuchanie tworzonego dzwonka na telefonie IP przed właściwym importem
plików do systemu.
•Click to Call - aplikacja pozwala
na wykonanie akcji „click-to-call”
z poziomu standardowych aplikacji
zainstalowanych na stacjach końcowych PC użytkowników. W chwili
obecnej dodatek wspiera następujące aplikacje:
»»Microsoft Word/Excel,
»»Microsoft Outlook,
»»Microsoft SharePoint,
»»Microsoft Internet Explorer,
»»Mozilla Firefox.
•Visual Voicemail - aplikacja przeznaczona jest do współpracy z systemami Cisco Unified Unity Connection
oraz Cisco Unified Unity Express.
Dodatek pozwala na przeglądanie/
odtwarzania oraz odpowiadanie na
wiadomości znajdujące się w skrzynce głosowej abonenta z poziomu
aplikacji uruchomionej na telefonie IP.
Tomasz Cieśliński
Kierownik Zespołu
Konsultantów
INTEGRATOR REVIEW (iII/2008)
22
technologie
Mechanizmy bezpieczeństwa IOS i metody ich wykorzystania
Częstym błędem popełnianym w trakcie procesu planowania systemu zabezpieczeń jest pomijanie istotnych
elementów systemu teleinformatycznego, budujących jego infrastrukturę. Urządzenia, takie jak routery
czy przełączniki zarządzalne, mogą stać się takim samym celem ataków sieciowych lub nadużyć jak inne
kluczowe elementy systemu teleinformatycznego (tj. serwery, aplikacje biznesowe), przez co powinny zostać
zabezpieczone adekwatnie do roli, jaką pełnią w danym systemie teleinformatycznym.
Ponadto urządzenia budujące infrastrukturę systemu, mogą świadczyć
liczne usługi w dziedzinie budowy systemu zabezpieczeń. Te dwa aspekty
pracy urządzeń sieciowych wymuszają
z jednej strony konieczność uruchomienia mechanizmów, pozwalających
je ochronić, z drugiej zaś strony pozwalają (w zależności od możliwości
technicznych danego elementu) wykorzystać ich funkcjonalności do ochrony
innych części i zasobów systemu.
Główny problem leżący w optymalnym
wykorzystaniu możliwości danego
urządzenia, polega na odpowiednim
określeniu i identyfikacji potencjalnego
ryzyka w relacji do technicznych możliwości, pozwalających zminimalizować
ryzyko do poziomu akceptowalnego
przez zapisy polityki bezpieczeństwa,
wyznaczającej standardy bezpieczeństwa teleinformatycznego dla konkretnego systemu. Innymi słowy należy
uruchamiać tylko te funkcjonalności,
które są istotne z punktu widzenia systemu zabezpieczeń oraz te, które faktycznie coś wnoszą do systemu mechanizmów zabezpieczeń, jako całości
rozwiązania chroniącego system teleinformatyczny.
Dzisiejsza rzeczywistość świata informatyki i telekomunikacji wprowadza
szereg nowych wyzwań dla problemu
tworzenia bezpiecznych rozwiązań
systemowych, które nabrały szczególnej wagi w ostatnim okresie. Przede
wszystkim należy pamiętać o następujących aspektach:
•Sieci i systemy wymagają ochrony
we wszystkich warstwach (od war-
stwy drugiej do siódmej włącznie),
przez co klasyczne rozwiązania zapór
ogniowych nie są już wystarczające.
•Wymagane są rozwiązania pozwalające przeciwdziałać atakom i nadużyciom w każdej z warstw modelu
sieciowego (np. rozwiązania IPS,
filtrowania treści, przeciwdziałanie
atakom 0-day itp.).
•Konieczna jest możliwość sprawdzania, manipulowania oraz normalizacji
najpopularniejszych protokołów sieciowych, które mogą być wykorzystane jako nośnik ataku sieciowego.
niniejsze urządzenie, dlatego potencjalne wykorzystanie luk w zabezpieczeniach takiego komponentu
może spowodować ciężkie skutki dla
całości systemu teleinformatycznego
i świadczonych przez niego usług itp.
Zmiany w modelu zagrożeń, powstawanie nowych koncepcji i metodologii organizacji systemów zabezpieczeń, jakie
mamy okazję obserwować, wymuszają
również zmiany w realizacji funkcjonalności oraz wdrażanie nowych rozwiązań w Cisco IOS. Oprogramowanie linii
12.4T zawiera bardzo wiele istotnych
nowości w funkcjonowaniu dotychcza-
Dzisiejsza rzeczywistość świata informatyki
i telekomunikacji wprowadza szereg nowych wyzwań
dla problemu tworzenia bezpiecznych rozwiązań
systemowych, które nabrały szczególnej wagi w ostatnim
okresie.
•Integracja usług i wszechobecna
wirtualizacja (np. routery posiadające
możliwości uruchomienia funkcjonalności bezpieczeństwa, VoIP,
zdalnego dostępu itp.) wymusza
szczególne podejście do problemu
zabezpieczeń urządzenia integrującego wiele usług lub wirtualizującego środowisko systemowe.
•Przełamanie zabezpieczeń urządzenia integrującego usługi lub wirtualizującego środowisko systemowe,
stanowi bardzo poważne zagrożenie
dla całości usług realizowanych przez
sowych mechanizmów oraz implementacji zupełnie nowych, w zasadzie we
wszystkich obszarach, w których router
Cisco - pracujący pod kontrolą systemu
IOS - może być zastosowany.
W niniejszym artykule zostaną poruszone zagadnienia związane z bezpieczeństwem samego routera, jak również możliwości jego wykorzystania
w procesie zabezpieczenia infrastruktury sieciowo-systemowej. W dalszej
części zostanie zaprezentowana nowa
koncepcja „płaszczyzn” (data, control,
management, service planes) oraz kilka
© SOLIDEX, 2008
23
technologie
stosunkowo nowych mechanizmów,
dostępnych w Cisco IOS tj. Zone-Based
Policy Firewall, Flexible Packet Matching.
Network Foundation Protection
NFP jest to koncepcja wypracowana
przez firmę Cisco, u podstaw której
leży zestaw funkcjonalności bezpieczeństwa, zapewniających bezpieczne
i ciągłe działanie sieci zbudowanych
w oparciu o routery Cisco i IOS oraz
strategie wykorzystania tychże mechanizmów. Funkcjonalności IOS rozdzielono na tzw. „płaszczyzny” (ang.
planes) i przypisano im różne sposoby
zabezpieczeń (często dedykowane)
oraz metody ich ochrony. Wyróżniono
zatem następujące „płaszczyzny”:
•Data Plane – do tej płaszczyzny należą funkcjonalności odpowiedzialne
za szeroko rozumiany transport pakietów poprzez sieć i obsługę ruchu
sieciowego przez router.
•Control Plane – to grupa funkcjonalności, dzięki którym router zachowuje zdolność routowania pakietów.
Należą do niej funkcjonalności
odpowiedzialne za gromadzenie
wiedzy na temat dostępnych tras
dla pakietów (protokoły routingu
dynamicznego), jak i mechanizmy
innych protokołów zapewniających
routerowi poprawne działanie z wykorzystaniem różnorodnych protokołów sieciowych (np. uzgadnianie
sąsiedztwa, obsługa protokołów
warstwy drugiej, określanie stanów
interfejsów, itp.).
•Management Plane – to z kolei
zbiór funkcjonalności odpowiedzialnych za szeroko pojęte zarządzanie
i monitorowanie urządzeniem (np.
dostęp administracyjny do CLI,
SNMP, SDM itp.).
•Service Plane – to zestaw pozostałych, zaawansowanych usług realizowanych przez IOS (np. MPLS VPN,
Voice, QoS, IPSec VPN, NAT itp.).
Rys.1 Network Foundation Protection - koncepcja
U podstaw powyższego rozdzielenia
funkcjonalności IOS, na grupy wyróżnione powyżej, leży koncepcja zachowania nieprzerwanej zdolności routera do
transportu pakietów (Data Plane), routowania pakietów (Control Plane), zarządzania urządzeniem (Management Plane), świadczenia pozostałych usług dla
użytkowników systemu (Service Plane).
Każda z „płaszczyzn” posiada przypisane mechanizmy i strategie ich użycia. Szczegółowa ich analiza nie jest
możliwa do dokonania na łamach niniejszego artykułu z powodu stopnia
złożoności i rozległości tych zagadnień.
Wydawnictwo Cisco Press opublikowało bardzo ciekawe opracowanie, dotyczące zabezpieczania „płaszczyzn”
IOS autorstwa Gregga Schudela oraz
Davida J. Smitha pt. „Router Security
Strategies: Securing IP Network Traffic
Planes”. Poniżej zostaną zaprezentowane najważniejsze aspekty.
Management Plane
Proces zabezpieczenia Management
Plane routera Cisco ma na celu zachowanie zdolności routera do bezpiecznego zarządzania jego pracą oraz możliwość sterowania jego parametrami.
Techniki, których używa się do zabezpieczenia tej grupy funkcji IOS są dość
powszechnie znane. Można tutaj wymienić najważniejsze z nich:
•zabezpieczenie dostępu administracyjnego mocnymi hasłami,
•zabezpieczenie mechanizmów
logowania przed atakami brute-force
lub słownikowymi (np. quiet-mode,
maksymalna ilość nieudanych logowań itp.),
•zabezpieczenie zdalnego dostępu
do logowania – ograniczenie urządzeń, z których można realizować
sesje administracyjne,
•kryptograficzna ochrona transmisji
danych niezbędnych do zarządzania
(SSH, SSL, SNMPv3),
•zabezpieczone przed destabilizacją
wiarygodne źródło czasu (NTPv3),
•ustawienie czasu bezczynności dla
sesji zarządzających,
•ochrona obrazu IOS i konfiguracji
przed skasowaniem (secure bootimage, secure boot-config),
•banery o właściwej treści zgodnej
z zapisami polityki bezpieczeństwa,
•role-Based CLI (widoki komend konfiguracyjnych),
•AAA (uwierzytelnienie, autoryzacja
dostępu administracyjnego oraz
gromadzenie informacji o sesjach administracyjnych oraz wykonywanych
komendach),
•powielone logowanie via SYSLOG,
•limity dla protokołów zarządzających
(np. SNMP, SYSLOG) w celu ograniczenie obciążenia CPU.
Z ciekawszych komend, które pojawiły się w Management Plane Protection
można wymienić komendę management-interface, wydaną w kontekście
konfiguracyjnym control-plane host
(nazwa komendy wskazuje na konfigurację control-plane, jednakże komenda
management-interface jest związana
INTEGRATOR REVIEW (iII/2008)
24
technologie
z konfiguracją dostępu dla zarządzania). Komenda ta umożliwia określenie
dozwolonych protokołów, wykorzystywanych na potrzeby zarządzania tj. SSH,
Telnet, SSL, SNMP, TFTP. Po włączeniu
niniejszej komendy wymienione protokoły będą blokowane na pozostałych
interfejsach, za wyjątkiem tych określonych w/w komendą. Niestety polecenie
to nie umożliwia konfiguracji dedykowanego interfejsu przeznaczonego
na potrzeby zarządzania, tak jak ma to
miejsce na platformach Cisco ASA.
Control Plane
Control Plane, jak to zdefiniowano powyżej, to zbiór tych funkcjonalności,
które umożliwiają routerowi zebranie
wszystkich niezbędnych informacji potrzebnych, aby przesyłać pakiety między swoimi interfejsami. Rysunek nr 2
obrazuje w schematyczny sposób istotę
Control Plane w procesie routowania pakietów. Istnieje wiele technik, służących
do zabezpieczenia Control Plane. Szczególnie jedna z nich rozwija się niezwykle
dynamicznie, a jest nią tzw. Control-Plane Policing - czyli rodzaj konfiguracji QoS
regulujących przepływ pakietów, kierowanych lokalnie do procesora routującego urządzenia. Proces zabezpieczania
Control Plane należy rozpocząć przede
wszystkim od wyłączenia niepotrzebnych usług i mechanizmów. Późniejsza
konfiguracja jest uzależniona od roli,
jaką pełni dany router w systemie oraz
specyfiki środowiska, w jakim pracuje.
Niemniej jednak można zaproponować
tu następujące zalecenia:
•wyłączenie żądań ICMP mogących
zakłócić pracę urządzenia lub zdradzić informację o systemie (np. mask
reply, information reply),
•IP receive ACL - polecenie dostępne
tylko na niektórych platformach,
umożliwia określenie list kontroli
dostępu dla ruchu kierowanego do
procesora routującego,
•Control Plane Policing (CoPP) – opisany pokrótce rodzaj konfiguracji
QoS regulującej przepływ pakietów
Rys.2 Control Plane
do procesora routującego, głównym
celem CoPP jest zapewnienie możliwości pracy Control Plane nawet
w warunkach ataku DoS lub DDoS,
•uwierzytelnienie sąsiedztw IGP i sesji
BGP za pomocą MD5,
•techniki BGP (np. filtrowanie i limitowanie prefiksów),
•filtrowanie protokołów specjalnych
(filtrowanie mutlicastów, snmp, protokołów zarządzających),
•monitorowanie dostępności tras (IP
SLA),
•monitorowanie zajętości pasma lub
wykrywanie nadużyć (Netflow),
•zapewnienie dostępności tras (HSRP,
VRRP, GLBP) i redundancję urządzeń.
Wprowadzone w oprogramowaniu
12.4(4)T Control Plane Protection/Policing pozwalają na dość elastyczne manipulowanie ruchem kierowanym do
niniejszej płaszczyzny funkcjonalności
routera. Polecenia konfiguracyjne wykorzystywane na tym polu są analogiczne do tych, znanych z Modular Quality
of Service CLI (MQC) - ostatnio występującego również pod nazwą Cisco Policy
Language (zestaw komend class-map,
policy-map oraz service-policy).
Data Plane
Płaszczyzna ta odpowiedzialna jest za
szeroko rozumiany transport pakietów, zgodnie z ustalonymi zasadami
i w oparciu o informacje nagromadzone przez Control Plane. Podobnie jak
w powyższych przypadkach możliwych do wykorzystania mechanizmów,
za pomocą których można regulować
przepływem pakietów, jest sporo. Można tu wymienić np.:
◊ Unicast Reverse Path Forwarding
(uRPF)
– funkcjonalność pozwalająca przeciwdziałać atakom, wykorzystującym
IP Spoofing, która bada przed podjęciem decyzji o przekazaniu pakietu
do interfejsu wyjściowego, czy urządzenie posiada ścieżkę zwrotną. Jeśli
ścieżka zwrotna lub routing domyślny
nie istnieje, to pakiet taki jest odrzucany. Funkcjonalność uRPF może działać
w czterech trybach, powodujących
różnice w ostatecznej decyzji - podejmowanej po zbadaniu istnienia ścieżki
zwrotnej. Tryby te to:
•Stricte mode – musi istnieć ścieżka
zwrotna skierowana tym samym
interfejsem, którym wchodzi pakiet.
•Loose mode – musi istnieć ścieżka
zwrotna skierowana jakimkolwiek
interfejsem.
•VRF mode – kontrolowana jest wirtualna tablica routingu na okoliczność
istnienia ścieżki zwrotnej.
•Feasible mode – ścieżka zwrotna
jest poszukiwana nie tylko w tablicy
routingu, ale również w tablicach
topologii (nawet wśród sieci, których
bieżący status jest określony jako
niedostępne).
© SOLIDEX, 2008
25
technologie
◊Techniki QoS pozwalające na dość
szerokie manipulowanie przepływem pakietów. Można w tym miejscu wykorzystać:
•„kolejkowanie” (queueing),
•„kolorowanie” pakietów (packet
coloring),
•ograniczanie pasma (rate-limiting,
shaping, policing),
•możliwość kształtowania pasma za
pomocą mechanizmów dostępnych
w protokołach sieciowych (np. Frame
Relay, ATM, MPLS itp.).
◊ Wykorzystanie mechanizmów dostępnych w protokołach routingu
dynamicznego i innych mechanizmach np.:
•RTBH (Remotely Triggered Blackhole),
•ukrywanie infrastruktury sieciowej
(np. urządzenia typu „P” w MPLS),
•PBR (Policy-Based Routing).
Rysunek nr 3 schematycznie obrazuje, w jaki sposób odbywa się transport
pakietu z interfejsu wejściowego do
interfejsu wyjściowego. Jak wynika
z niniejszego diagramu funkcjonalności
dostępnych w IOS - służących m.in. do
ochrony sieci, której infrastrukturę budują routery Cisco - jest wiele. Czytelnik
zapewne zauważył, iż brakuje wśród
wymienionych powyżej funkcjonalności najważniejszej, bez której nie sposób
wyobrazić sobie proces zabezpieczenia
systemu. Mowa tu oczywiście o Cisco
IOS Firewall, czyli doskonale znanych
listach kontroli dostępu, Context-Based
Access Control (ip inspect), Application
Firewall (appfw), IOS IPS (ip ips). Wersja
12.4T przynosi w tym zakresie bardzo
duże zmiany. Przede wszystkim wprowadzono nowy rodzaj zapory sieciowej,
której konfigurację realizuje się w oparciu o strefy i dołączone do nich polityki,
określające przepływ pakietów poprzez
urządzenie, a nie jak to miało miejsce
dotychczas, w przypadku „klasycznych”
konfiguracji opartych o CBAC, gdy polityki firewalla realizowało się w kontekście konfiguracyjnym interfejsów.
Szerzej Zone-Based Firewall zostanie
zaprezentowany poniżej wraz z nową
generacją list kontroli dostępu, czyli Flexible Packet Matching – rodzajem listy
kontroli dostępu, gdzie administrator nie
jest ograniczony jedynie do kilku pól dostępnych w pakiecie L3 i L4. FPM umożliwia poszukiwanie wzorców bitowych
w każdym miejscu pakietu, od warstwy
drugiej począwszy a na siódmej skoń-
Rys.3 Data Plane - operacje wykonywane przez router na pakiecie
czywszy. FPM również zostanie szerzej
omówiony w dalszej części niniejszego
artykułu. Oprócz wspomnianych, duże
zmiany objęły IOS IPS (wersja 12.4(11)
T), gdzie zastosowano nowy format
sygnatur, odpowiadający tym znanym
z Cisco IDS-42xx lub modułów IDSM-2
i AIP-SSM. Twórcy Cisco IOS umożliwili
również realizację funkcjonalności tzw.
transparent firewall oraz transparent
IPS, gdzie konfigurację zapory sieciowej i systemu przeciwdziałania atakom
sieciowym można dołączyć do portu,
pracującego jako interfejs warstwy drugiej. Umożliwia to np. realizację funkcji
ochronnych bez konieczności readreacji
sieci IP lub wybiorczą ochronę urządzeń
w ramach tej samej podsieci IP.
Zone-Based Policy Firewall
Nowa koncepcja stanowej zapory sieciowej została wprowadzona do IOS
wraz z wersją 12.4(4)T. Klasyczny IOS Firewall nie zostanie wycofany, jednakże
firma Cisco w przyszłości będzie kładła
nacisk na rozwój ZFW (nowe funkcjonalności będą dostępne w ZFW a nie
w klasycznym CBAC). W chwili obecnej
ZFW nie zawiera jeszcze wszystkich
mechanizmów dostępnych w zaporze
klasycznej. W nowej wersji Czytelnik
nie znajdzie jeszcze wsparcia dla IPv6,
MIB, stateful failover. To co na pewno
znalazło się w ZFW to stanowa inspekcja protokołów, analiza zestawu protokołów aplikacyjnych, wsparcie dla
filtrowania URL, VRF oraz poprawiona
wydajność i sprawniejsza praca całego
IOS Firewall (zmniejszenie obciążenia
CPU powodowanej analizą protokołów
sieciowych, zwiększenie przepustowości oraz ilości jednoczesnych sesji obsługiwanych przez zaporę sieciową IOS).
Główne różnice pomiędzy Classic a Zone-Based Policy FW polegają na koncepcji konfiguracji. Jak już wspomniano powyżej, klasyczna zapora realizuje
swoją politykę per interfejs, natomiast
ZFW oparty jest na koncepcji stref (zones), do których dołączane są interfejsy
routera. Para stref jednocześnie wyznacza kierunek ruchu, jak również stanowi miejsce, gdzie administrator dołącza
opracowaną wcześniej politykę zapory
INTEGRATOR REVIEW (iII/2008)
26
technologie
Rys. 4 Zone-Based Policy Firewall - zasada działania
sieciowej. Jako że ZFW, podobnie jak
zapora klasyczna, jest stanowa - ruch
przepuszczony przez zdefiniowaną politykę, a będący odpowiedzią na ruch
wcześniej nawiązany, zostanie automatycznie przepuszczony.
Rysunek nr 4 obrazuje podstawowe zasady działania ZFW:
•ruch miedzy interfejsami tej samej
strefy będzie przepuszczany,
•ruch między interfejsem przypisanym do strefy a interfejsem nieprzypisanym do żadnej ze stref będzie
blokowany,
•ruch miedzy strefami musi być dopuszczony polityką,
•pary stref wyznaczają kierunek ruchu
(każdy z kierunków musi mieć osobną politykę).
Konfigurację ZFW wykonuje się z wykorzystaniem Cisco Policy Language, czyli
znanych z MQC poleceń class-map, policy-map oraz service-policy. Do tego
dochodzą jeszcze nowe polecenia, definiujące strefy, przypisujące interfejsy
do stref oraz definiujące pary stref oraz
kierunki przepływu pakietów między
nimi. W uproszczony sposób kroki konfiguracyjne, jakie należy podjąć w celu
konfiguracji ZFW, są następujące:
•definicja ruchu opisanego polityką
(polecenie class-map),
•określenie akcji dla wybranego ruchu:
pass, drop, log, inspect, urlfilter, policy
(w ramach polecenia policy-map),
•definicja stref (polecenie zone security),
•przyłączenie interfejsów do stref
(polecenie zone-member),
•tworzenie pary stref - wyznaczenie
kierunku ruchu (polecenie zone-pair
security),
•dowiązanie polityki do pary stref (komenda service-policy wydana w kontekście konfiguracyjnym pary stref).
!
! Komunikacja miedzy dwiema strefami (Outside i Inside).
Pelne wyjscie z Inside do Outside
! Wejscie z Outside do Inside tylko dla telnet do hosta
10.10.10.10
!
access-list 100 permit tcp any host 10.10.10.10 eq telnet
!
class-map type inspect match-all PERMIT-TELNET
match protocol telnet
match access-group 100
!
class-map type inspect match-any POPULAR-PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect PERMIT-PROTOCOLS-FROM-INSIDE
class type inspect POPULAR-PROTOCOLS
inspect
class class-default
drop log
!
policy-map type inspect PERMIT-TELNET-FROM-OUTSIDE
class type inspect PERMIT-TELNET
inspect
class class-default
drop log
!
zone security OUTSIDE
description Untrusted
zone security INSIDE
description Trusted
!
zone-pair security OUTBOUND source INSIDE destination OUTSIDE
service-policy type inspect PERMIT-PROTOCOLS-FROM-INSIDE
!
zone-pair security INBOUND source OUTSIDE destination INSIDE
service-policy type inspect PERMIT-TELNET-FROM-OUTSIDE
!
interface FastEthernet0/0
zone-member security INSIDE
!
interface FastEthernet0/1
zone-member security OUTSIDE
© SOLIDEX, 2008
27
technologie
Rys.5 Schemat topologii dla przykładowej
konfiguracji ZFW
Powyższy przykład obrazuje konfigurację ZFW, posiadającego dwie strefy:
Inside i Outsider. Użytkownicy ze strefy
Inside mają prawo do używania protokołów TCP, UDP i ICMP, dla których
ruch powrotny zostanie przepuszczony przez ZFW. Od strony zewnętrznej
routera dopuszczony został jedynie
protokół TELNET do adresu 10.10.10.10.
Pakiety, które nie zostały opisane politykami zapory sieciowej (klasa ruchu
o nazwie class_default), zostaną odrzucone, a informacja o tym fakcie trafi do
logu routera.
Flexible Packet Matching
Drugą z najciekawszych funkcjonalności dostępnych w oprogramowaniu IOS
jest Flexible Packet Matching, nazywany już „ACL nowej generacji”. W przeciwieństwie do klasycznych list kontroli
dostępu, FPM nie jest ograniczony do
z góry określonych pól w pakietach tj.
adres źródłowy i docelowy, port źródłowy i docelowy itp., ale FPM umożliwia poszukiwanie dowolnych ciągów
bitowych w pakietach, od początku na-
główka warstwy drugiej aż do warstwy
siódmej włącznie. Ponadto FPM posiada większą ilość akcji, jakie można zastosować dla interesującego ruchu. To,
co umożliwia Flexible Packet Matching
to przede wszystkim:
np. możliwość szybkiego załadowania
reguł FPM na wiele urządzeń (stosowane plików TCDF jest opcjonalne).
FPM posiada niestety również i ograniczenia. Do najważniejszych z nich należą:
•bardziej szczegółowa selekcja pakietów,
•wykorzystywanie informacji
z warstw 2, 5-7,
•większe panowanie nad „badanym”
ruchem,
•możliwość precyzyjnego wyboru
ruchu do blokowania,
•możliwość blokowania ekspansii
wirusów i robaków,
•przeciwdziałanie atakom 0-day.
•brak inspekcji stanowej,
•brak inspekcji protokołów aplikacyjnych (np. śledzenie portów dynamicznych),
•inspekcja tylko pakietów unicast
IPv4,
•utrudnienia w analizie ruchu fragmentowanego (tylko pakiety początkowe),
•brak obsługi na interfejsach tunnel
i MPLS,
•brak wsparcia dla multicastów.
FPM do konfiguracji wykorzystuje CPL,
podobnie jak ma to miejsce w przypadku ZFW lub QoS. FPM posiada spore
udogodnienie dla osób postawionych
przed zadaniem skonfigurowania takiej
listy kontroli dostępu. Głównie chodzi
tu o sposób określenia interesującej
wartości pól zawartych w nagłówkach
badanych pakietów. Administrator
ma możliwość badania konkretnego
ciągu bitowego, opierając się o przesunięcie bajtowe względem początku
nagłówka L2 lub L3. Oprócz tego istnieje możliwość skorzystania z plików
XML, opisujących strukturę danego
pakietu i jego nagłówka dla konkretnego protokołu. Pliki te noszą nazwę
PHDF (Protocol Header Definition File).
Przed przystąpieniem do konfiguracji
polityk FPM, administrator routera ma
możliwość załadowania plików PHDF
i odwoływania się do wartości pól pakietów nazwanych w pliku PHDF, bez
konieczności korzystania i szczegółowego obliczania przesunięcia bajtowego względem początku nagłówka. Pliki
PHDF dla najpopularniejszych protokołów są dostępne na stronach firmy
Cisco. FPM wykorzystuje jeszcze jeden
rodzaj plików XML - TCDF (Traffic Classification Definition File). Pliki te zawierają kompletną definicję polityki FPM,
zastępującą odpowiednie sekwencje
poleceń, które musiałyby być wydane
przez administratora w konfiguracji IOS.
Dzięki plikom TCDF administrator ma
Kroki konfiguracyjne, jakie trzeba wykonać, aby przeprowadzić konfigurację
FPM, są następujące:
•załadowanie pliku PHDF (load-protocol) – krok opcjonalny uzależniający
sposób odwołania się do odpowiednich pól pakietów,
•określenie interesującego ruchu za
pomocą class-map,
•wybór ruchu za pomocą komendy
match field (gdy używany jest PHDF),
•wybór ruchu za pomoca komendy match start (gdy PHDF nie jest
używany),
•określenie polityki dla wybranego
ruchu za pomocą policy-map (np.
drop),
•powiązanie polityk w jeden twór za
pomocą service-policy,
•przyłączenie service-policy do interfejsu routera.
Poniższy przykład konfiguracyjny ilustruje blokowanie wirusa Slammer (długość 404 bajtów, port UDP 1434, poszukiwany wzorzec 0x4011010 od 224 bajta
licząc od początku nagłówka IP).
Podsumowanie
Router Cisco już od dłuższego czasu nie
musi być traktowany jako urządzenie
jedynie transportujące pakiety poprzez
sieci. Bogactwo funkcjonalności zawar-
INTEGRATOR REVIEW (iII/2008)
28
technologie
tych w Cisco IOS umożliwia przypisywanie routerom różnych ról, w zależności od bieżących potrzeb i środowiska,
w którym zostały one uruchomione.
Należy jednakże ciągle pamiętać o po-
tencjalnych zagrożeniach oraz o ryzyku ich materializacji. Z tego względu
oprócz kwestii funkcjonalnych routery
Cisco powinny być wciągnięte do systemu zabezpieczeń systemu teleinfor-
!
! Blokowanie wirusa Slammer (długość 404 bytes, port UDP
1434,
! Poszukiwany wzorzec 0x4011010 od 224 bajta licząc od
początku nagłówka ip
!
load protocol disk2:ip.phdf
load protocol disk2:udp.phdf
!
class-map type stack match-all ip-udp
description „Pakiet UDP”
match field ip protocol eq 0x11 next udp
!
class-map type access-control match-all slammer
description „Wykrywanie Slammera”
match field udp dest-port eq 0x59A
match field ip length eq 0x194
match start l3-start offset 224 size 4 eq 0x4011010
!
policy-map type access-control fpm-udp-policy
description „Polityka dla atakow w UDP”
class slammer
drop
!
policy-map type access-control fpm-policy
description „drop worms and malicious attacks”
class ip-udp
service-policy fpm-udp-policy
!
interface gigabitEthernet 0/1
service-policy type access-control input fpm-policy
!
matycznego. W raz z przełącznikami
Cisco oraz innymi urządzeniami, które
oferują również wiele ciekawych funkcjonalności ze świata security, mogą
one znacznie wzbogacić wachlarz
środków zaradczych przeciwko potencjalnym problemom bezpieczeństwa danej infrastruktury. Nie należy
jednakże polegać tylko i wyłącznie na
standardowych mechanizmach zabezpieczeń, dostępnych na urządzeniach.
Koncepcja bezpieczeństwa systemu teleinformatycznego winna być przemyślana w najdrobniejszych szczegółach
i zrealizowana koncepcyjnie na każdym poziomie. Jednym ze sposobów
realizacji konfiguracji systemu zabezpieczeń - jest model warstwowy, gdzie
warstwy (funkcje ochronne, elementy
konfiguracji również te nie związane
z bezpieczeństwem w sensie stricte)
wzajemnie chronią siebie i w przypadku przełamania jednej z nich, pozostałe warstwy pozwolą na zablokowanie
ataku lub przynajmniej ograniczą zasięg potencjalnego zagrożenia dla pozostałych elementów systemu.
Maciej
Ogórkiewicz
Inżynier Konsultant
© SOLIDEX, 2008
29
rozwiązania
Cisco NAC Appliance i jego możliwości
NAC Appliance, czyli pełna kontrola dostępu do zasobów sieciowych oraz ochrona przed zagrożeniami
pochodzącymi z wnętrza infrastruktury.
Według wszelkich prawideł projektowych Kompletny System Bezpieczeństwa dotyczy nie tylko aspektów
zabezpieczeń przed atakami z zewnątrz, ale i z wnętrza sieci. Wielowarstwowe modele projektowania
infrastruktury bezpieczeństwa sieciowego nakazują, aby polityki bezpieczeństwa były egzekwowane już
na stacjach końcowych (PC, PDA, GSM). W takim przypadku skutecznym uzupełnieniem standardowych
mechanizmów zabezpieczeń - jest system pełnej kontroli dostępu do infrastruktury sieciowej, w zależności od
poziomu bezpieczeństwa stacji końcowych.
Wstęp do technologii Network
Admission Control
Technologia NAC polega na wykorzystaniu zasobów sieciowych do inteligentnego narzucenia praw dostępu,
w zależności od poziomu bezpieczeństwa urządzenia końcowego.
Technologia NAC klasyfikowana jest
przez Cisco Systems jako integralna część
system SDN (Self – Defending – Network).
Z biegiem czasu SDN ewaluował do systemu, który charakteryzował się:
•Integracją mechanizmów bezpieczeństwa:
»» routery, przełączniki, aplikacje oraz
stacje końcowe,
»» bezpieczna łączność, ochrona
przed zagrożeniami, aspekty zaufania oraz identyfikacji sieciowej,
•Pełną współpracą zintegrowanych
mechanizmów bezpieczeństwa:
»» stacje końcowe + infrastruktura
sieciowa + aplikacje,
»» NAC, usługi bazujące na indetyfikacji sieciowej,
•Adaptacją bezpieczeństwa przed
zagrożeniami:
»» konsolidacja usług powodujący
wzrost efektywności wykonywanych operacji,
»» wzrost efektywności mechanizmów bezpieczeństwa.
Firma Cisco Systems klasyfikuje technologie NAC jako część rozwiązania
SDN, która odpowiada za mechanizm
zarządzania identyfikacją oraz zaufania w infrastrukturze sieciowej. System
odpowiadający za mechanizmy zarządzania identyfikacją oraz zaufaniem,
składa się z 3 technologii:
•zarządzanie tożsamością ( rozwiązanie bazujące na wykorzystaniu
CSACS ):
»» gwarantowany mechanizm identyfikacji i pełna integracja urządzeń
w sieci,
»» udostępnione usługi AAA,
»» możliwość bezpiecznego zarządzania zdalnymi urządzeniami,
•usługi oparte o tożsamość sieciową
(rozwiązanie bazujące na wykorzystaniu CSACS oraz 802.1x):
»» kreowanie „zaufanych” domen
sieciowych,
»» rozszerzony dostęp do zasobów
sieciowych LAN,
»» kreowanie i przypisywanie automatyczne VLANów w zależności od
polityk bezpieczeństwa,
»» wsparcie dla przewodowych oraz
bezprzewodowych sieci,
•NAC ( rozwiązanie bazujące na wykorzystaniu technologii NAC Framework, NAC Appliance):
»» wymuszanie polityk bezpieczeństwa przy pomocy Cisco Trust
Agenta,
»» kontrolowanie ruchu w sieci (nakładanie restrykcji, kwarantanny,
przekierowywanie),
»» rozszerzona funkcjonalność dzięki
Agentowi Cisco Security, mechanizmom Anti-X oraz rozwiązań firm
trzecich.
NAC w wykonaniu CISCO SYSTEMS
Cisco grupuje produkty, wykorzystujące technologie NAC, względem rodzaju
zagrożeń bezpieczeństwa (tabela nr 1).
Cisco Security Agent jest dedykowanym systemem zabezpieczeń dla serwerów, stacji roboczych czy systemów
operacyjnych. System oparty jest na
działaniu algorytmów, analizujących
anomalie w sieci (skuteczniejszy niż
system porównywania sygnatur). Rozwiązanie to konsoliduje w sobie jednego agenta do zabezpieczenia stacji
końcowej wraz z funkcjonalnościami
(Host Intrusion Prevention, Spyware,
Adware Protection, Distributed Firewall
Capabilities, Audit Log Consolidation).
Rozwiązania działające w oparciu o architekturę NAC, dotyczą dwóch produktów/technik.
INTEGRATOR REVIEW (iII/2008)
30
rozwiązania
Nieznane zagrożenia
Znane zagrożenia
Cisco NAC - Architektura działania
Cisco Trust Agent
Cisco Trust Posture Agent
Cisco Security Agent
- Agent Aplikacyjny
- Agregacja listy uwierzytelniającej
z Cisco Security Agent (plug-in) oraz
z aplikacji AV (różnych producentów)
- Komunikacja z urządzeniami
sieciowymi (routery przełączniki
posiadające funkcjonalność NAC)
Cisco NAC Appliance
Cisco NAC Appliance
- Agent Aplikacyjny
- Zaimplementowana ocena podatności
uwzględniając sprawdzone pliki, rejestry,
usługi, aplikacje
- Komunikacja z Cisco CAM (Clean Access
Manager) oraz CAS (Clean Access )
Tab.1 Różnice pomiędzy produktami NAC Cisco
Pierwsze rozwiązanie bazuje na wykorzystaniu funkcjonalności Cisco Trust
Agenta (Endpoint Security), urządzeń
typu NAD (Network Access Devices)
oraz serwerów AAA. Cisco Trust Agent
jest aplikacją instalowaną na stacjach
końcowych. Do najważniejszych zadań
agenta należy umożliwianie dostępu do
zasobów w sieci, w zależności od spełnienia pewnego poziomu bezpieczeństwa samej stacji roboczej (stanu stacji
roboczej - posture). W tym celu Cisco
Trust Agent, za pomocą odpowiednich
pluginów (może być aplikacja innego
vendora), sprawdza odpowiednie biblioteki dll. Komunikacja (dostarczenie „dokumentacji” oraz odbiór wyników ich
sprawdzenia) pomiędzy „urządzeniami
dostępowymi” a agentem odbywa się
przy pomocy specjalnie „wystawionego” interfejsu (API). Uzupełnieniem tego
rozwiązania są urządzenia NAD - czyli
urządzenia takie, jak: przełączniki, routery, punkty dostępowe (system autonomiczny), koncentratory VPN, aparaty
IP. Powyższy produkt/technika NAC nosi
nazwę Framework.
Podsumowując, rozwiązanie typu Framework skoncentrowane jest na urządzeniu końcowym, a do uwierzytelniania potrzebny jest suplikant 802.1x lub
EAPoverUDP. Urządzenia NAD służą do
wykonywania decyzji serwera AAA.
Wyróżniamy trzy modele wdrożenia
tego rozwiązania:
•L2 802.1x (autoryzacja na przełączniku lub punkcie dostępowym),
•L3 IP (autoryzacja na routerze lub
innym urządzeniu L3),
•L2 IP (autoryzacja na przełączniku).
•zautomatyzowane mechanizmy
„naprawy” oraz aktualizacji stacji
roboczych.
Drugie rozwiązanie bazuje na technologii typu NAC Appliance. Technologia
NAC Appliance opiera się na działaniu
mechanizmów automatycznej detekcji,
izolowania oraz „czyszczenia” zainfekowanych urządzeń końcowych, próbujących uzyskać dostęp do zasobów
sieciowych. Dodatkowo system ten
uzupełnia Cisco Security Agent - zainstalowany na stacji roboczej. System
NAC Appliance, bazujący na agencie,
umożliwia skanowanie i sprawdzanie
systemów plików, rejestrów oraz aplikacji. Do mocnych atutów tego rozwiązania można zaliczyć:
•minimalizację przerw pracy systemów sieciowych,
•wymuszanie odpowiednich polityk
bezpieczeństwa,
Cisco NAC Appliance, będące częścią
koncepcji Cisco Self-Defending Network, ma za zadanie wykorzystać infrastrukturę sieciową (znacznie mniej
zaangażowanych urządzeń niż w przypadku NAC Framework) do celów identyfikacji, zapobiegania zagrożeń oraz
przystosowywania infrastruktury IT na
zwalczanie ich nowych odmiany. Działanie rozwiązania typu NAC Appliance
można sprowadzić do 4 procesów:
•rozpoznania - rozpoznanie użytkowników, ich stacji roboczych oraz ich
profili w sieci,
•oceny - oceny w jakim stopniu polityka bezpieczeństwa na stacji końcowej odpowiada ogólnym politykom
bezpieczeństwa,
•egzekwowania - egzekwowanie
polityk bezpieczeństwa poprzez blokowanie, izolowanie oraz „naprawy
niekompatybilnych” maszyn,
•aktualizowania - mechanizmy umożliwiające przeprowadzanie procesu
aktualizacji maszyn „niekompatybilnych”.
Rys.1 Porównanie technologii NAC Framework oraz NAC Appliance
© SOLIDEX, 2008
31
rozwiązania
System NAC Appliance składa się
z następujących elementów:
VLANy lub różne (mapowanie VLANów).
•Interfejsy CASa mogą być trunkami.
•Interfejsy sieci zaufanej oraz niezaufanej posiadają ten sam adres IP (do
zarządzania i kontaktu z CAM).
•Brama domyślna ustawiona jest
na interfejsie urządzenia L3 w sieci
zaufanej.
•Stacje końcowe identyfikowane są
po MAC adresie.
1. Cisco NAC Appliance (dawniej Clean Access Server)
Urządzenie („serwer”) wymuszające
proces oceniania stanu stacji oraz egzekwowania poziomu dostępu, w zależności od wyniku jej weryfikacji pod
względem podatności. CAS jest oprogramowaniem opartym o system Linux
(zoptymalizowany Fedora Core w NAC
Appliance wersji 4.1) i instalowanym na
platformach sprzętowych (Cisco, HP,
Dell).
Na dzień dzisiejszy Cisco udostępnia
ten system na urządzeniach dedykowanych „appliance” (wersja 4.5).
CAS stanowi swoistą bramę pomiędzy
siecią untrusted (zarządzana) a siecią
trusted. Użytkownik próbujący dostać
się do infrastruktury sieciowej, jest blokowany na poziomie portu (brak możliwości komunikacji z siecią trusted,
możliwość tylko ruchu DHCP i DNS) do
momentu pozytywnego przejścia, np.:
procesu walidacji stacji roboczej użytkownika. Urządzenie skalowane jest do
pięciu rozmiarów (ilość jednoczesnych
prób „wejścia” do sieci) - 100, 250, 500,
1500, 2500 oraz 3500. CAS może pracować w jednym z trzech trybów: Virtual Gateway (bridge), Real-IP Gateway
(router), Real-IP z funkcją NAT (router +
translacja).
Virtual Gateway (bridge)
•CAS operuje na ramkach jako bridge.
•Na interfejsach mogą być te same
Vendor
Cisco
Dell
Real – IP/NAT (router)
•CAS jako router (default gateway dla
sprawdzanej sieci).
•CAS operuje na statycznym routingu
(nie rozgłasza tras).
•Tryb NAT realizowany jest dla połączeń wychodzących (zalecane do
testów).
•Interfejs „sieci nie zaufanej” może
obsługiwać wiele VLANów (trunk).
•CAS może pracować jako DHCP Relay
lub DHCP Server.
Rys.2 Virtual Gateway (bridge)
Poniżej wymienione zostały kluczowe
właściwości systemu NAC Appliance
(wersja 4.1):
Integracja procesu autentykacji z usługą
„single sign-on”
NAC Appliance świadczy usługi proxy większości metod uwierzytelniania
(RADIUS, LDAP, Kerberos, Active Directory, S/Ident). Dla zoptymalizowania
procesu autoryzacji NAC Appliance
wspiera również usługę „single signon” dla klientów VPN oraz klientów
„bezprzewodowych”.
Model Number
Min. CAS Version
CCA-3140-H1
4.1(x); 4.0(x); 3.6(x)
MCS-7825-I1-CC1/IPC1
4.1(x); 4.0(x); 3.6(x)
MCS-7825-I1-ECS1
4.1(x); 4.0(x); 3.6(x);
3.5(x); 3.4(x);
PowerEdge 1950
4.1(1); 4.0(6);
ProLiant DL140 G3
4.1(1); 4.0(4);
ProLiant DL360 G5
4.1(1); 4.0(4);
HP
Tab.2 Zestaw wspieranych platform sprzętowych dla NAC Appliance (max. wersja 4.1)
Rys.3 Real - IP/NAT (router)
Ocena podatności
Cisco NAC Appliance wspiera proces
skanowania systemów Microsoft Windows, Mac OS oraz wielu dystrybucji
Linux’owych na stacjach roboczych.
Dodatkowo procesem skanowania
poddawane są również urządzenia takie, jak: PDA, drukarki oraz telefony IP.
Ocenie podatności poddawane są rów-
INTEGRATOR REVIEW (iII/2008)
32
rozwiązania
nież aplikacje, klucze rejestrów systemowych oraz system plików.
Kwarantanna urządzeń niekompatybilnych
Urządzenia „niekompatybilne” z ogólną polityką bezpieczeństwa w firmie
mogą być umieszczane w strefie kwarantanny (zazwyczaj wydzielona podsieć z maską 30 bitową) lub specjalnie
wydzielony VLAN.
Automatyczny proces aktualizacji polityk
bezpieczeństwa
Możliwość automatycznego pobierania
aktualizacji predefiniowanych polityk
bezpieczeństwa dla najczęściej używanych kryteriów dostępu do zasobów
sieciowych, takich jak:
•poprawki do systemów operacyjnych,
•aktualizowane bazy wirusów dla
aplikacji AV,
•aktualizowanie systemów antyspyware.
Centralne zarządzanie
Rozbudowana webowa konsola zarządzająca dla jednego lub wielu serwerów CAS.
•Cheks: pojedyncze sprawdzenie (wyrażenie logiczne) elementu systemu
operacyjnego klienta. Sprawdzenie
klucza rejestru, plików, usług, aplikacji.
•Rule: reguły (RULES) to wyrażenie
logiczne złożone ze sprawdzeń
(Checks) i operatorów logicznych [
(,),I,&,! ], służą do określenia luki.
•Requirements: wymagania (requirements) to powiązanie reguł z metodami naprawy wykrytych słabości.
Metody te obejmują np.: dostarczenie pliku czy odnośnika do strony
WWW.
•Role: role są zbiorami wymagań,
które przypisuje się do grup użytkowników.
Powyższe parametry, a także zainstalowany agent Cisco CCA na stacji roboczej, umożliwiają systemowi NAC Appliance przeprowadzić i zweryfikować
jej stan (posture).
Cisco Clean Access Manager dostępny
jest w trzech opcjach (w zależności od
ilości obsługiwanych CASów):
•Cisco Clean Access Lite Manager
zarządza do 3 CASów,
•Cisco Clean Access Standard Manager zarządza do 20 CASów,
2. Cisco Clean Access Manager (CAM)
Clean Access Manager jest centralnym
systemem zarządzania technologii
NAC Appliance. CAM potrafi zarządzać
pojedynczym lub wieloma urządzeniami CAS (tabela nr 2). CAM ma za zadanie centralnie zarządzać politykami
bezpieczeństwa oraz ich wymogami.
Z poziomu konsoli zarządzania CAM
użytkownik jest w stanie skonfigurować następujące parametry:
Cisco Clean Access Agent (CCA)
Cisco Clean Access Agent jest to darmowa aplikacja typu agent. Instalowana
jest na stacjach roboczych i umożliwia
pobranie danych uwierzytelniających
od użytkownika. Dodatkowo przeprowadza proces skanowania rejestrów
stacji roboczych i wspomaga CAS przy
procesie identyfikowania stacji (sprawdza IP oraz MAC adresy). Istotną informacją jest fakt, iż aplikacja ta stanowi
opcjonalne uzupełnienie systemu NAC
Appliance.
Ostatnim i opcjonalnym elementem
systemu są reguły i aktualizacje, umożliwiające automatyczne wymuszanie
aktualizacji dla aplikacji AV, poprawek
systemowych oraz innych programów.
Uaktualnienia są dystrybuowane w formacie XML z zaznaczeniem wersji pliku
(tabela nr3).
Modele wdrożeń NAC Appliance
Dzięki „elastyczności” systemu NAC Appliance klient ma możliwość dostosowania odpowiedniego modelu wdrożenia w zależności od swoich potrzeb.
Cisco NAC Appliance Cisco NAC Appliance
3350
3390
NAC Network
Module for
Integrated Services
Routers
Produkt
- Clean Access Server
(licencje na 100, 250, 500
użytkowników)
- Clean Access Lite
Manager
- Clean Access Server
(licencje na
1500, 2500, 3500
użytkowników)
- Clean Access
Standard Manager
- Clean Access Super
Manager
- NAC Network Moduł
(licencje na 50, 100
użytkowników)
Procesor
Dual-core Intel Xeon
2.33-GHz
Dual-core Intel Xeon
3.0-GHz
2 x dual-core Intel
Xeon 3.0-GHz
1-GHz Intel
Celeron-M
Pamięć RAM
1 GB PC2-4200
(2 x 512 MB)
2 GB PC2-5300
(2 x 1 GB)
4 GB PC2-5300
(4 x 1 GB)
512-MB double data
rate 2 (DDR2)
HDD
80-GB NPH SATA drive
2 x 72-GB SFF SAS
RAID drives
4 x 72-GB SFF SAS RAID
drives
80-GB Serial ATA
(SATA) drive
NICs
- 2 x Integrated
Broadcom
10/100/1000 5708 NICs
- 2 x Intel e1000 Gigabit
NICs (PCI-X)
- 2 x Integrated
Broadcom
10/100/1000 5721
NICs
- 2 x Intel e1000
Gigabit NICs (PCI-X)
- 2 x Integrated
Broadcom
10/100/1000 5721 NICs
- 2 x Intel e1000 Gigabit
NICs (PCI-X)
-
Cisco NAC Appliance
3310
Elastyczne modele wdrożeń
Szeroki wachlarz modeli wdrożeń. Nie
trzeba dostosowywać sieci do NAC Appliance – to NAC Appliance dostosuje
się do istniejącej sieci.
•Cisco Clean Access Super Manager
zarządza do 40 CASów.
Tab.3 Wymagania sprzętowe produktów NAC Appliance
© SOLIDEX, 2008
33
rozwiązania
Układ wdrożenia Out-Of-Band:
System NAC Appliance można wdrożyć
na kilka sposobów:
W modelu wdrożenia OOB - CAS kontroluje ruch pakietów klienta tylko do
momentu zbadania stanu stacji oraz jej
uwierzytelnienia.
•Centralnie i Brzegowo: podział ze
względu na miejsce podłączenia
CASa,
•In-Band i Out-Of-Band: podział ze
względu na logiczne podłączenie
CASa i obsługę procesu autoryzacji,
•L2 i L3: podział ze względu na
uwzględnienie unikalnego identyfikatora (IP lub MAC).
Układ wdrożenia Centralnego:
W modelu Centralnego wdrożenia CAS umieszczony jest w „centralnym”
miejscu w sieci, na ogół przy głównym
przełączniku( ruch agregowany z przełączników dostępowych). Zazwyczaj
przy tego typu wdrożeniu CAS wykonuje mapowanie VLANów.
Rys. 5 Układ wdrożenia Brzegowego
Układ wdrożenia In-Band:
W modelu wdrożenia IB - CAS kontroluje cały ruch pakietów klienta ( ruch pakietów „przechodzi” przez CAS nawet
po procesie zbadania stanu stacji i jej
uwierzytelnienia).
Rys. 7 Układ wdrożenia Out-Of-Band
Układ wdrożenia L2:
W modelu wdrożenia L2 - CAS identyfikuje stacje klienta w drugiej warstwie
(MAC adres).
Rys. 4 Układ wdrożenia Centralnego
Układ wdrożenia Brzegowego:
W modelu wdrożenia Brzegowego CAS umieszczony jest na „brzegu” sieci
korporacyjnej (CAS pracuje w obrębie
tylko jednego VLANu, brak mapowania
VLANów).
Rys. 6 Układ wdrożenia In-Band
Rys. 8 Układ wdrożenia L2
INTEGRATOR REVIEW (iII/2008)
34
rozwiązania
Układ wdrożenia L3:
W modelu wdrożenia L3 - CAS identyfikuje stacje klienta w trzeciej warstwie
( IP adres). Najczęściej model ten stosowany jest dla połączeń WAN i VPN.
Dodatkowo uwzględniając tryby pracy NAC Appliance, modele wdrożeń
przedstawiają się następująco:
•In-Band Virtual Gateway,
•In-Band Real-IP Gateway,
•In-Band Real-IP Gateway/NAT,
•Out-Of-Band Virtual Gateway,
•Out-Of-Band Real-IP Gateway,
•Out-Of-Band Real-IP Gateway/NAT,
•Centralnie wdrożony Virtual Gateway,
•Centralnie wdrożony Virtual Gateway,
•Centralnie wdrożony Virtual Gateway,
•Brzegowo wdrożony Real-IP Gateway,
•Real-IP Gateway pracujący w trybie
L3,
•Real-IP Gateway pracujący w trybie
L2, wdrożony centralnie.
cowywania najnowszej wersji NAC Appliance (wersja 4.5). Najnowsza wersja
umożliwia przede wszystkim pełną integrację systemu NAC z rozwiązaniem
RADIUS. Dodatkowo będzie możliwe
importowanie i eksportowanie polityk
pomiędzy serwerami NAC Manager.
Uzupełniając informacje na temat produktów Cisco NAC, warto wspomnieć
jeszcze o module NME-NAC-K9 (kompatybilny z ISR 2800, 3800 oprócz 2801,
IOS 12.4(11)T). Moduł NACa jest odpowiednikiem „większego” brata NAC Appliance - stosowanym w mniejszych firmach lub zdalnych oddziałach. Routery
z tym modułem są zarządzane również
przez CAMa. Skalowalność tego rozwiązania mieści się w granicach od 50
do 100 użytkowników (licencje na 50
oraz 100 użytkowników).
Podsumowanie
Rys. 9 Układ wdrożenia L3
Reasumując, technologia NAC stanowi
nieodzowną część kompletnego systemu zabezpieczeń. Technologia NAC
jest stosunkowo młoda, ale perspektywiczna. Cisco jest już na etapie dopra-
Jakub Świerczyk
Inżynier Konsultant
Naszą misją jest pomoc w efektywnym rozwoju
Waszych organizacji
www.SOLIDEX.com.pl
© SOLIDEX, 2008
35
rozwiązania
Projektowanie wygodnych serwisów „dla ludzi”?
Każda aplikacja czy rozwiązanie komunikacyjne, a tym bardziej rozwiązanie o zabarwieniu społecznościowym,
wymaga od projektantów - oprócz niezawodności i wysokiej jakości technicznej samego rozwiązania
informatycznego - czegoś znacznie więcej. Podobnie jak budynek użyteczności publicznej - a nawet prywatny
duży lub mały dom oprócz tego, że powinien być postawiony w zgodzie ze sztuką budowlaną i wykonany
w najlepszych dostępnych technologiach, powinien także być funkcjonalny, użyteczny oraz dobrze, aby
zachwycał swoich gości ładnym wyglądem i spójnym wykończeniem.
Powyższa analogia jest bardzo bliska
każdej dziedzinie projektowania, w tym
także projektowaniu publikacji elektronicznych i sprowadza się do logicznego
i bardzo uzasadnionego twierdzenia,
że dobre rozwiązanie komunikacyjne
wymaga od jego autorów zaprojektowania i budowy użytecznego, funkcjonalnego i estetycznego interfejsu
użytkownika. Przede wszystkim istotna
jest logiczna i zgodna z celami struktura informacyjna, aby można było uznać
dane rozwiązanie za dobre a nawet
wiodące, gdy inne okoliczności temu
sprzyjają - chociażby wówczas, gdy
konkurencyjne rozwiązania nie prezentują wysokiego poziomu dla użytkowników.
Szczególnie w przypadku rozwiązań
adresowanych do masowej liczby odbiorców (jak portale, serwisy społecznościowe, interfejsy użytkownika popularnych usług masowych) interfejs
użytkownika i wygodne korzystanie
z najlepiej nawet zaprogramowanych
funkcjonalności decyduje o powodzeniu lub klęsce rozwiązania na arenie
powszechnego Internetu czy nawet
mniejszych grupach użytkowników,
jak to ma miejsce w korporacyjnych
rozwiązaniach intranetowych lub usługach on-linowych, dedykowanych dla
zdefiniowanej grupy Klientów.
W rozwiązaniach internetowych rzadko zdarza się tzw. „drugie miejsce” czy
„srebrny medal”. Najczęściej jakieś rozwiązanie, które jest uznane przez użytkowników za wiodące w swojej klasie,
dystansuje drugiego gracza znacznie
i tak naprawdę staje się standardem
samym w sobie i jedynym wyznaczni-
kiem, do którego inni mogą co najwyżej próbować się porównać (przykładem niech będzie kilka popularnych
i znanych rozwiązań, takich jak Google.
com czy Amazon.com a naszego lokalnego rynku Onet.pl lub Allegro.pl
i wiele innych standardów, których sukces w dużej mierze opiera się na bezwzględnym werdykcie wydanym przez
ilość korzystających użytkowników,
którzy czują się tam dobrze i radzą sobie z prostą i funkcjonalną obsługą).
Projektując rozwiązanie, co do którego
inwestor i projektant mają duże oczekiwania i ambicje, warto pamiętać o zasadzie z refrenu piosenki zespołu Abba,
która w dziedzinie ogólnodostępnych
rozwiązań komunikacyjnych sprawdza
się wyjątkowo dobrze: „The Winner Takes It All”.
wych rozwiązań w danej tematyce. Te
mniej istotne czynniki, które nadal są
brane pod uwagę przez użytkownika
(jak chęć urozmaicenia lub znudzenie
jednym rozwiązaniem), wypełniają
oferty konkurencji. Jednak dystans
dzielący „numer dwa” od lidera, bywa
zaskakująco duży w porównaniu z innymi dziedzinami.
Rozważania dotyczące dobrej użyteczności i dobrze zastosowanej struktury
nie odnoszą się tylko do dużych i popularnych rozwiązań przeznaczonych
dla szerokich rzeszy użytkowników. Tak
jak nasz prywatny dom nie powinien
wcale być mniej użyteczny w swojej
znacznie skromniejszej funkcji od popularnego centrum handlowego - tak
mniejsze lub mniej popularne w Inter-
Projektując rozwiązanie, co do którego inwestor
i projektant mają duże oczekiwania i ambicje, warto
pamiętać o zasadzie z refrenu piosenki zespołu Abba,
która w dziedzinie ogólnodostępnych rozwiązań
komunikacyjnych sprawdza się wyjątkowo dobrze: „The
Winner Takes It All”.
W Internecie z reguły nie występują
komercyjne bariery związane z wyższą ceną używania rozwiązań najlepszych i najbardziej popularnych lub
z ich ograniczoną dostępnością (z wyjątkiem bariery językowej i kulturowej
w przypadku serwisów globalnych, co
stanowi tu pewien wyjątek). Nie ma silnych czynników, które utrzymywałyby
użytkownika przy niżej sklasyfikowanych rozwiązaniach odciągając go od
lidera i wyrównując stawkę kilku czoło-
necie rozwiązania i projekty nie muszą
być wcale gorzej zaprojektowane od
dużych i znanych portali. Wprost przeciwnie - mniejsze rozwiązanie o celniej
zdefiniowanej grupie odbiorców i ich
potrzebach jest znacznie łatwiejsze
do użytecznego zaprojektowania niż
ogromny portal społecznościowy,
z którego korzystają „wszyscy” i powinien być dopasowany do potrzeb tych
„wszystkich” - co oznacza ogromne
kompromisy.
INTEGRATOR REVIEW (iII/2008)
36
rozwiązania
Zespół projektowy zajmujący się zagadnieniami architektury informacyjnej i interfejsów w firmie WebService, jakkolwiek ma w swoim dorobku
projektowanie dużych i największych
rozwiązań, z których korzystają „wszyscy” (jak choćby portal Onet.pl czy Era
Omnix) - na co dzień jednak rozwiązuje problemy funkcjonalne i formalne,
znacznie skromniejszych projektów,
na potrzeby Klientów korporacyjnych.
Wspólnie z zespołem IT, który analizuje i przymierza się do budowy rozwiązań technologicznych, zespół projektowania interfejsu buduje i analizuje
przyszłą wizję nawigacji, użyteczności
i formy graficznej - czyli tzw. look&feel
wdrażanych rozwiązań.
Dlaczego warto zwracać uwagę na to,
aby budowane rozwiązanie było dobrze przeanalizowane i zaprojektowane pod kątem użyteczności i funkcjonalności interfejsu graficznego?
Wystarczy nieco się rozejrzeć po stronach i serwisach z różnych branż i o
różnym przeznaczeniu, aby szybko
wyłapać te, których użyteczność i nasze subiektywne poczucie wygody
w nawigowaniu zostawiają wiele do
życzenia. Jest ich niestety bardzo dużo.
W zdecydowanej większości, nawet
wśród znanych i dużych firm zajmujących się budową rozwiązań IT, nie ma
ani dużego doświadczenia ani dedykowanych zespołów, specjalizujących się
w projektowaniu użytecznych interfejsów opartych o komunikację użytkowników przez konwencje używane
w Internecie. Najczęściej w procesie
projektowania i wdrożenia aplikacji tak jak pamięta się o rzetelnej analizie
technicznej i dobrych praktykach programistycznych - zapomina się o uży-
firmie - najczęściej małej i niedrogiej
lub wręcz tzw. Freelance’rowi - przez
integratora IT, bez większego przywiązywania wagi do właściwej funkcjonalności dla użytkownika końcowego.
Zewnętrzny podwykonawca niezaangażowany i nieświadomy zagadnień
funkcjonalnego i użytecznego interfejsu dla danego procesu skupia się na
ładnym i modnym projekcie graficznym, często przesyconym zbędnymi
elementami, które jednak podnoszą
wartość materialną wykonanego zadania w oderwaniu od jego przeznaczenia
Dlaczego warto zwracać uwagę na to, aby
budowane rozwiązanie było dobrze przeanalizowane
i zaprojektowane pod kątem użyteczności
i funkcjonalności interfejsu graficznego?
teczności, a analiza funkcjonalności
samego interfejsu umyka w pośpiechu
i natłoku pracy twórców aplikacji.
i funkcji (np. przez nadmierne wykorzystanie elementów multimedialnych czy
rozwiązań graficznych w interfejsie).
Postępowaniem „szablonowym” na
rynku w takich przypadkach jest podzlecanie projektu graficznego tworzonego rozwiązania (rzadziej pamięta się
o architekturze informacji) zewnętrznej
Wiele spośród zagadnień istotnych
z punktu widzenia przyszłego użytkowania i rozwoju projektowanego
rozwiązania - nie jest brane pod uwagę w fazie analizy i projektowania, co
© SOLIDEX, 2008
37
rozwiązania
w rezultacie odbija się niekorzystnie na
samym projekcie i jego łącznych kosztach. Do rzadkości należy analiza cyklu
życia projektowanego systemu, przewidująca choćby w zarysie planowanie
późniejszych modyfikacji lub wymiany
szaty graficznej. Fakt, że warstwa graficzna opatrzy się znacznie szybciej,
niż zużyje się dobrze zaprojektowana
aplikacja czy dobra funkcja, jest łatwy
do przewidzenia i warto go uwzględnić
w prognozowanym cyklu życia serwisu,
aby potem „nie wylewać dziecka z kąpielą” i nie dać się zaskoczyć statystykom odwiedzin za kilkanaście miesięcy.
W przypadku celowego przewidzenia
ewentualności odświeżenia szaty graficznej, po pewnym czasie bez „demolowania” całego serwisu i kodów jego
aplikacji, inwestor znacznie zaoszczędzi na kosztach przebudowy i zakłopotaniu użytkowników, a aplikacja otrzyma drugą młodość przy ciągle dobrej
i użytecznej funkcjonalności.
Godne uwagi i polecenia przy samym
projektowaniu architektury informacyjnej jest zaplanowanie kilku hierarchii
docierania do informacji w strukturze,
zgodnie z naturalnymi sposobami poszukiwania ich przez różnych użytkowników. Ważne jest jednak, aby pamiętać
o nadaniu jednej z nich (tej najbardziej
logicznej) roli wiodącej i wyraźnie domyślnej, podczas gdy pozostałe będą
dostępne dla bardziej zaawansowanych użytkowników jako alternatywy
i nie będą się rzucać w oczy laikom, aby
nie powodować zagubienia w serwisie.
Dobrym pomysłem jest tutaj separacja
warstwy docelowej (treściowej) od tej
nawigacyjnej, co pozwoli nam w przyszłości manewrować hierarchią informacji lub zezwolić zaawansowanemu użytkownikowi na personalizację
w tym zakresie, bez wpływu na obszary z treścią właściwą.
Każde działanie powinno być oczywiście dostosowane do skali i przezna-
czenia planowanego rozwiązania. Dla
niektórych małych projektów czasem
nie warto wytaczać wszystkich ogromnych „dział” projektowych i analitycznych, gdyż nie przyniesie to wielkiego
skutku. Dla małych rozwiązań proces
świadomego projektowania funkcjonalności także powinien się odbyć, jednak przy użyciu nieco skromniejszych
środków i proporcjonalnych nakładów.
Bartłomiej
Podkowa
Dyrektor Działu
Graficznego
Webservice
Budujemy sprawną i bezpieczną
infrastrukturę teleinformatyczną
www.SOLIDEX.com.pl
INTEGRATOR REVIEW (iII/2008)
38
Program SOLIDEX
Autoryzowane szkolenia Cisco Systems
(także w nowym Centrum Kompetencyjno-Szkoleniowym)
ICND 1
Interconnecting Cisco Networks Devices Part 1
ICND 2
Interconnecting Cisco Networks Devices Part 2
BSCI
BCMSN
ISCW
Building Scalable Cisco Internetworks
Building Cisco Multilayer Switched Networks
Implementing Secure Converged Wide Area Networks
BGP
Configuring BGP on Cisco Routers
ONT
Optimizing Converged Cisco Networks
SNAA
Securing Networks with ASA Advanced
SNAF
Securing Networks with ASA Foundation
SNRS v3.0
Securing Networks with Cisco Routers and Switches
CIPT P1 v6.0
Implementing Cisco Unified Communications
Manager Part 1
CIPT P2 v6.0
Implementing Cisco Unified Communications
Manager Part 2
CWLMS
QoS
MPLS
Implementing CiscoWorks LMS
Implementing Cisco Quality of Service
Implementing Cisco MPLS
Infolinia: 0800 49 55 82
Więcej informacji można uzyskać w serwisie www.SOLIDEX.com.pl, www.cks.SOLIDEX.com.pl
oraz via e-mail: [email protected]
Szkolenia prowadzone są w centrali oraz warszawskim oddziale SOLIDEX:
Kraków Centrala SOLIDEX, ul. Lea 124;
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX,
Złote Tarasy - Lumen, ul. Złota 59
Harmonogram na rok 2009
Seminarium I Nowoczesne usługi „przyszłości” w świecie
mobilnych technologii
19 lutego
Cykliczne seminaria SOLIDEX
Zapraszamy na cykl bezpłatnych seminariów
organizowanych przez SOLIDEX SA w Centrum
Kompetencyjno- Szkoleniowym w Warszawie.
Celem spotkań jest kompleksowe przedstawienie
najnowszych rozwiązań teleinformatycznych, które
pomogą w efektywnym rozwoju Państwa organizacji.
Prezentacje prowadzone są przez SOLIDnych EXpertów
oraz przedstawicieli Partnerów Technologicznych
SOLIDEX, wśród których znajdą się światowi liderzy
branży IT.
Seminarium II Aplikacje webowe wspierające procesy
biznesowe nowoczesnych przedsiębiorstw
23 kwietnia
Seminarium III Czy kontrolujesz swoje dane?
Czyli zaawansowana ochrona informacji
w przedsiębiorstwie
18 czerwca
Seminarium IV Unified Communications jako fundament
i wydajne narzędzie do wymiany informacji
3 września
Seminarium V Security - wirtualna rzeczywistość
Centrum Przetwarzania Danych
29 października
Seminarium VI Przewidywanie Nieprzewidywalnego -
Business Continuity Planning
10 grudnia
SOLIDEX SA Centrala: ul. J. Lea 124, 30-133 Kraków, tel.: +48 (12) 638 04 80, fax: +48 (12) 638 04 70, www.SOLIDEX.com.pl
SOLIDEX SA Oddział Warszawa Centrum Kompetencyjno-Szkoleniowe: Złote Tarasy – Lumen (IV poziom),
ul. Złota 59, 00-120 Warszawa, tel.: +48 (22) 222 34 00, fax: +48 (22) 222 34 05, www.cks.SOLIDEX.com.pl

Podobne dokumenty

Integrator Review Wydanie Jubileuszowe

Integrator Review Wydanie Jubileuszowe Rozliczanie usług typu prepaid w oparciu o SOLIDEX.callnet

Bardziej szczegółowo