Provider-1 wielodomenowy system zarządzania bezpieczeństwem
Transkrypt
Provider-1 wielodomenowy system zarządzania bezpieczeństwem
Nr II/2008 BIULETYN INFORMACYJNY SOLIDEX ROZWIĄZANIA Provider-1 wielodomenowy system zarządzania bezpieczeństwem Wydarzenia SOLIDEX SOLIDEX z certyfikatem z certyfikatem Cisco ATP ATP -- Outdoor Outdoor Cisco Wireless Mesh Mesh Wireless TECHNOLOGIE NOWOŚCI IronPort - systemy antyspamowe i antywirusowe TANDBERG VCS - rewolucja w komunikacji wideo Gold Certified Partner Learning Partner Advanced Unified Communications Advanced Technology Partner Outdoor Wireless Mesh Advanced Wireless LAN Advanced Routing and Switching Advanced Security Check Point Platinum Partner Check Point Certified Collaborative Support Provider Crannog Software Reseller Principal Membership Level Direct Solution Provider Nokia Authorized Security Partner TrueNorth Associate Partner Support Services Subcontractor F5 Premier Advantage Partner Premium Partner Gold Partner Crossbeam Authorized Partner X (CAP X) Crossbeam Accredited Service Partner McAfee Premier Partner RSA SecurWorld Solutions Partner RSA SecureCare Provider Partner Oracle Poland HP Software Gold Partner HP Preferred Partner Citrix Silver Solution Advisor Authorized Support Partner NetApp VIP Reseller Symantec Gold Partner Advanced Solution Partner Endance Authorized Distributor Sarian Systems Value Added Reseller Premier Partner © SOLIDEX, 2006 2 Spis treści Szanowni Państwo, W niniejszym wydaniu INTEGRATORA – REVIEW prezentujemy najciekawsze artykuły, które ukazały się na łamach czterech wydań INTEGRATORA ONLINE w okresie od marca do sierpnia 2008 roku. Mamy nadzieję, że prezentowane tematy spotkają się z Państwa zainteresowaniem. Pragniemy przypomnieć, że INTERATOR ONLINE nie wymaga rejestracji i jest ogólnodostępny w naszym serwisie www.SOLIDnySerwis.pl Zachęcamy do lektury!!! Wydarzenia 4 4 4 5 5 6 6 7 7 8 8 8 SOLIDEX - F5 Premier Advantage Partner Centrum Kompetencyjno-Szkoleniowe na 18-lecie SOLIDEX Wdrożenie SOLIDEX w Zakładzie Ubezpieczeń Społecznych MPLS - nowe szkolenie w ofercie SOLIDEX Konferencja Cisco Forum 2008 zakończona 18 lat do przodu SOLIDEX Przejrzystą Firmą SOLIDEX przyjacielem Festiwalu Zaczarowanej Piosenki im. Marka Grechuty SOLIDEX zmodernizuje sieć w Komendzie Głównej Policji SOLIDEX z certyfikatem Cisco ATP - Outdoor Wireless Mesh SOLIDEX wdroży sieć WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego SOLIDEX – 2. największym integratorem systemowym w Polsce w 2007 r. NOWOŚCI 9 12 16 Rodzina Cisco ACE – nowe funkcjonalności IronPort - systemy antyspamowe i antywirusowe Nowoczesne systemy ochrony informacji – Imperva TECHNOLOGIE 21 24 27 Mechanizmy bezpieczeństwa w bezprzewodowych rozwiązaniach Cisco Systems Fiber to the Office - Fiber to the Desk TANDBERG VCS - rewolucja w komunikacji wideo ROZWIĄZANIA 31 35 Provider-1 wielodomenowy system zarządzania bezpieczeństwem Dostarczanie i rozliczanie treści dla odbiorców mobilnych © SOLIDEX, 2008 Wydarzenia SOLIDEX – F5 Premier Advantage Partner Dnia 11 lutego 2008 roku SOLIDEX otrzymał certyfikat F5 Networks – Premier Advantage Partner. To wyjątkowe wyróżnienie potwierdza wysokie kompetencje naszych inżynierów w zakresie rozwiązań, służących do zarządzania dystrybucją treści w Internecie oraz w sieciach korporacyjnych. Wychodząc naprzeciw wzrastającym potrzebom naszych Klientów, dbając o szybki i łatwy dostęp do portali i aplikacji – SOLIDEX wdraża produkty firmy F5 Networks, światowego lidera rozwiązań służących do optymalizacji wydajności i obciążenia aplikacji oraz sieci. Przyznany SOLIDEX status partnerski F5 Premier Advantage Partner jest świadectwem wysokich kwalifikacji w zakresie sprzedaży, wdrażania i utrzymania powyższych produktów. Więcej informacji na temat certyfikowanych partnerów F5 Networks można znaleźć pod adresem http://www.f5.com/partners/ . Centrum Kompetencyjno-Szkoleniowe na 18-lecie SOLIDEX Z okazji 18. rocznicy powstania Grupy SOLIDEX oraz otwarcia nowego Centrum Kompetencyjno-Szkoleniowego w Oddziale Firmy w Złotych Tarasach w Warszawie, w dniach 6-7 marca 2008 roku odbył się cykl imprez: Późnym popołudniem odbyła się oficjalna uroczystość otwarcia Centrum Kompetencyjno-Szkoleniowego w Złotych Tarasach. Po prezentacji i krótkim omówieniu celów, jakie stoją przed •Seminarium pt. „Nowoczesny samorząd – infostrada komunikacyjna dla regionu” •Uroczyste otwarcie Centrum KompetencyjnoSzkoleniowego SOLIDEX w Złotych Tarasach •Wieczór „SOLIDEX Mimo Wszystko!” z udziałem m.in. BUDKI SUFLERA oraz Kabaretu OT.TO. W trakcie seminarium zaprezentowaliśmy nowoczesne rozwiązania, służące do tworzenia efektywnej infrastruktury IT w regionie. Cieszymy się, że nasze prezentacje zostały przyjęte z dużym zainteresowaniem, a tematyka spełniła oczekiwania naszych Gości. szył specjalny gość Felicjan Andrzejczak, odbyła się aukcja unikalnych przedmiotów na rzecz Fundacji Anny Dymnej „Mimo Wszystko”. Pieniądze uzyskane podczas aukcji zostaną przeznaczone na budowę Ośrodka Rehabilitacyjno-Terapeutycznego dla Osób Niepełnosprawnych w Radwanowicach „Dolina Słońca”. Niezapomniana atmosfera wieczoru udzieliła się wszystkim uczestnikom, pozostawiając miłe wspomnienia. Serdecznie dziękujemy za liczne przybycie i udział w specjalnej aukcji podczas wieczoru „SOLIDEX Mimo Wszystko!” nowym Centrum, uczestnicy wznieśli symboliczny toast. Wieczór „SOLIDEX Mimo Wszystko!”, który miał miejsce w Klubie Mirage, obfitował w liczne atrakcje. Oprócz występu Kabaretu OT.TO i ponadczasowej BUDKI SUFLERA, której towarzy- Zapraszamy na kolejne jubileuszowe spotkanie z Firmą SOLIDEX! Więcej informacji na stronie www.mimowszystko.SOLIDEX.com.pl Wdrożenie SOLIDEX w Zakładzie Ubezpieczeń Społecznych SOLIDEX zakończył realizację zamówienia dla Zakładu Ubezpieczeń Społecznych w Warszawie. Projekt obejmował dostawę i wdrożenie urządzeń wraz z oprogramowaniem do odtwarzania zasobów sieci LAN/WLAN w centrali Zakładu. W ramach kontraktu dostarczono router serii Cisco 7609, urządzenia ASA z modułami IPS oraz routery Cisco ISR serii 2800 i 3800. Całość dostarczonych urządzeń została objęta szybkim serwisem gwarancyjnym, świadczonym przez SOLIDEX. Wieloletnie doświadczenie Firmy w zakresie wdrażania i zarządzania projektami gwarantuje naszym Klientom doskonałą opiekę techniczną i wsparcie na każdym etapie realizowanych przez nas inwestycji. INTEGRATOR REVIEW (iI/2008) 4 Wydarzenia Konferencja Cisco Forum 2008 zakończona W dniach 2-4 kwietnia 2008 roku w Hotelu Kasprowy w Zakopanem odbyła się dziesiąta jubileuszowa konferencja Cisco Forum. Jak co roku, SOLIDEX wziął udział w tym wydarzeniu jako Partner Złoty. Program konferencji został podzielony na pięć ścieżek, związanych z tematyką Cisco Unified Communications, Cisco Security, Cisco Service Provider a także Routing & Switching oraz Cisco Data Center. SOLIDEX, jako firma posiadająca najwyższy status partnerski Gold Certified Partner w ramach złotego pakietu sponsorskiego konferencji Cisco Forum 2008, przygotował dla wszystkich zainteresowanych ciekawy wykład techniczny, dotyczący protokołu IP w wersji szóstej. W ramach wystąpienia prelegent omówił m.in. dlaczego warto implementować IPv6, przedstawił podstawy adresacji i praktyczny przegląd protokołów routingu IPv6, a także zaprezentował techniki wzajemnej współpracy IPv4 i IPv6. Tegoroczne spotkanie było okazją do wymiany cennych doświadczeń z przedstawicielami SOLIDEX. Serdecznie dziękujemy naszym Klientom za tak liczny udział w konferencji Cisco Forum 2008. MPLS - nowe szkolenie w ofercie SOLIDEX MPLS jest stosunkowo nową technologią, która umożliwia dostawcom usług internetowych (ISP) budowanie sieci MAN i WAN, bazujących na protokole IP z wykorzystaniem mechanizmów typu VPN i QoS. Inżynieria ruchu pozwala sieciom na ich adaptację dla różnych sytuacji ruchu. Kurs Implementing Cisco MPLS – dostępny w ofercie SOLIDEX od 12 marca br. – obejmuje podstawy technologii MPLS, jej architekturę, działanie oraz wykrywanie i usuwanie problemów. Celem kursu jest nabycie umiejętności i wiedzy potrzebnej do instalowania, nadzorowania i rozwiązywania problemów w sieciach MPLS. Kurs omawia zasadę działania technologii MPLS, a także instalację i konfigurowanie mechanizmów VPN oraz przedstawia różne scenariusze implementacji. Zajęcia teoretyczne są uzupełnione sporym pakietem ćwiczeń praktycznych, związanych z implementacją MPLS na urządzeniach firmy Cisco Systems. Tematyka kursu obejmuje: •wprowadzenie do MPLS (podstawy MPLS, aplikacje MPLS, etykiety LABELS), •przypisywanie i dystrybucję etykiet MPLS (LDP), •implementację Frame-Mode MPLS na platformie Cisco IOS, •wprowadzenie do wirtualnych sieci prywatnych (overlay vs peer-to-peer VPN), •podstawy MPLS-VPN (koncepcje i cele, terminologia, model połączeń, mechanizmy przekazywania, topologie, skalowanie), •konfigurację routingu między routerami PE i CE, •konfigurację sesji MP-BGP pomiędzy routerami PE, •dostęp do Internetu poprzez MPLS VPN, •wprowadzenie do MPLS traffic engineering. Kurs przeznaczony jest dla administratorów sieci MPLS, osób planujących takie wdrożenia oraz inżynierów systemowych, którzy chcą zdobyć wiedzę o MPLS i jego mechanizmach. Kurs ten stanowi również ważny element na drodze do uzyskania certyfikatu Cisco Certified Internetwork Professional (CCIP). Od uczestników wymagana jest gruntowna wiedza o protokołach routingu. W szczególności istotna jest umiejętność posługiwania się protokołem BGP. Wskazana jest także wiedza w zakresie usługi QoS i jej mechanizmów. respektowane certyfikaty firmy Cisco stanowią niezaprzeczalną wartość dla inżynierów sieciowych oraz zatrudniających ich firm i instytucji. Certyfikaty te są gwarancją ściśle określonego poziomu teoretycznej i praktycznej wiedzy inżynierów sieciowych. Serdecznie zapraszamy do udziału w naszych szkoleniach, które odbywają się w: •Centrum KompetencyjnoSzkoleniowym w Warszawie, •Centrali Firmy w Krakowie. Szczegóły dotyczące szkoleń oraz zapisy pod adresem http://www.solidex.com.pl/240.htm . SOLIDEX już od 1998 roku posiada certyfikat Cisco Learning Partner, świadczący o najwyższym światowym poziomie prowadzenia autoryzowanych szkoleń Cisco Systems. Powszechnie © SOLIDEX, 2008 5 Wydarzenia 18 lat do przodu 12 kwietnia 2008 roku SOLIDEX obchodził swoje urodziny. W tym dniu, osiemnaście lat temu, powstała pierwsza spółka naszej Grupy – SOLIDEX Ltd. Przez osiemnaście lat istnienia na rynku, SOLIDEX nieustannie się rozwijał, stając się czołowym polskim integratorem systemów teleinformatycznych. Obecnie Grupa zatrudnia przeszło 230 osób w pięciu spółkach, systematycznie zwiększając zatrudnienie. Centrala Firmy jest od samego początku zlokalizowana w Krakowie. Posiadamy oddziały w Gdańsku, Poznaniu i Warszawie a także placówki serwisowe w Lublinie, Olsztynie, Wrocławiu, Szczecinie i Toruniu. Aby sprostać wzrastającym wymaganiom naszych Klientów, w roku 2008 powołaliśmy do życia nowe Centrum Kompetencyjno-Szkoleniowe w Warszawie. Wieloletnie doświadczenie Grupy SOLIDEX budowane w oparciu o wy- kwalifikowaną kadrę inżynierską, a także konsekwentne stosowanie najnowocześniejszych technologii wiodących światowych producentów, przekłada się na zdobywane przez Firmę nagrody i wyróżnienia oraz najwyższe specjalizacje techniczne. Co roku dokonujemy nowych implementacji, zyskując uznanie Klientów, wśród których znajdują się największe polskie banki, firmy ubezpieczeniowe, operatorzy telekomunikacyjni, duże sieci handlowe, uczelnie i agendy administracji publicznej. Swoją stabilną pozycję na rynku zawdzięczamy bardzo dobrym wynikom, niezależności finansowej, a przede wszystkim wartościom, którymi konsekwentnie kieruje się nasza Firma. Wśród nich naczelną zasadą j e s t „SOLIDność w każdym działaniu”, która stanowi gwarancję powodzenia każdej powierzonej nam inwestycji i została już wielokrotnie potwierdzona przez naszych Klientów i Partnerów, a także niezależne organizacje gospodarcze i biznesowe. Wszystkim, którzy przyczynili się do naszego sukcesu: Pracownikom, Partnerom, Klientom i Przyjaciołom dziękujemy za okazane nam zaufanie, wieloletnią współpracę oraz wymianę cennych doświadczeń. Mamy nadzieję, że kolejne lata będą dla nas równie owocne, a zdobyta wiedza i doświadczenie pozwoli nam wszystkim dalej „uciekać do przodu”. SOLIDEX Przejrzystą Firmą W marcu 2008 roku SOLIDEX został nagrodzony certyfikatem „Przejrzysta Firma” nadanym przez czołową wywiadownię gospodarczą Dun and Bradstreet Poland, zajmującą się analizą wiarygodności firm i przedsiębiorstw. Certyfikat otrzymują jedynie te przedsiębiorstwa, które prowadzą jawną politykę informacyjną, zapewniając pełny dostęp do aktualnych i wiarygodnych informacji o swoich finansach. Wyróżnienie przyznane SOLIDEX jest szczególnie istotne dla naszych partnerów handlowych i kontrahentów, gdyż świadczy niezbicie o wiarygodności i uczciwości finansowej Firmy, czyniąc z niej rzetelnego partnera biznesowego. Jest także gwarancją sprawnego zarządzania przedsiębiorstwem, które w sposób przejrzysty i bezpieczny realizuje powierzane inwestycje. Więcej informacji na temat certyfikatu „Przejrzysta Firma” znajdą Państwo na stronie www.przejrzystafirma.pl . INTEGRATOR REVIEW (iI/2008) 6 Wydarzenia SOLIDEX zmodernizuje sieć w Komendzie Głównej Policji Dnia 29 maja 2008 roku SOLIDEX podpisał umowę z Komendą Główną Policji, obejmującą zaprojektowanie, dostawę i instalację urządzeń aktywnych sieci WAN w KGP oraz w Komendach Wojewódzkich Policji na terenie całego kraju. Zgodnie z zamówieniem SOLIDEX wdroży na terenie kraju między inny- mi routery Cisco serii 7206 oraz 3825. W ramach kontraktu instruktorzy SOLIDEX przeprowadzą autoryzowane szkolenia Cisco dla pracowników Policji. Zainstalowane urządzenia zostaną objęte szybkim serwisem gwarancyjnym, świadczonym przez SOLIDEX. SOLIDEX, jako integrator sieci kompu- terowych, od lat zajmuje się kompleksową realizacją zamówień dla sektora publicznego. Doświadczeni inżynierowie oraz rozwiązania oparte na produktach światowych liderów w branży IT gwarantują sukces w powierzonej nam inwestycji. SOLIDEX przyjacielem Festiwalu Zaczarowanej Piosenki im. Marka Grechuty Jeśli natura obdarzyła Cię pięknym głosem, słuchem i darem śpiewania, bądź z nami! Wyśpiewaj swoje uczucia, swoją radość, miłość, cierpienie! Wyśpiewaj siebie! Podziel się sobą z innymi! Daj sobie szansę! Daj szansę innym poznawać Twój talent! Musisz tylko się odważyć! Tymi słowami organizatorzy gorąco zachęcali uzdolnionych, niepełnosprawnych artystów do udziału w IV już edycji Festiwalu Zaczarowanej Piosenki im. Marka Grechuty, odbywającego się w ramach Ogólnopolskich Dni Integracji „Zwyciężać mimo wszystko”. SOLIDEX, od lat zaangażowany we współpracę z Fundacją Anny Dymnej „Mimo Wszystko”, jest przyjacielem tegorocznego Festiwalu. Jak co roku, w dniach 14 i 15 czerwca 2008 roku, Rynek Główny w Krakowie rozbrzmiewał piosenką, pełną ciepła, radości i nadziei. Młodzi niepełnosprawni wokaliści po raz kolejny zaprezentowali swój talent szerokiej publiczności. W tych wyjątkowych chwilach towarzyszyły im największe gwiazdy polskiej estrady i ekranu: Irena Santor, Kasia Nosowska, Natalia Kukulska, Halinka Mlynkova, Tatiana Okupnik, Jerzy Trela, Zbigniew Zamachowski, Grzegorz Markowski, Stanisław Soyka i Szymon Wydra. Serdecznie dziękujemy wszystkim, którzy wzięli udział w Dniach Integracji, jednocząc się wokół jednego celu: wspólnej dobrej zabawy w pełnej godności atmosferze. © SOLIDEX, 2008 7 Wydarzenia SOLIDEX z certyfikatem Cisco ATP - Outdoor Wireless Mesh Dnia 6 czerwca 2008 roku SOLIDEX otrzymał certyfikat Cisco ATP - Outdoor Wireless Mesh. Wyróżnienie potwierdza wysoką jakość świadczonych przez Firmę usług w zakresie sprzedaży, projektowania i implementacji nowoczesnych, bezprzewodowych sieci kratowych. Sieci typu Outdoor Wireless Mesh z powodzeniem znajdują zastosowanie w przestrzeni publicznej typu: rynki miejskie, parki itp. Specjalizacja Cisco ATP - Outdoor Wireless Mesh, przyznawana w ramach programu partnerskiego ATP (Authorized Technology Provider), weryfikuje i wyróżnia przedsiębiorstwa, oferujące nowoczesne rozwiązania teleinformatyczne oparte na produktach Cisco. SOLIDEX posiada od 1998 roku status Złotego Partnera firmy Cisco Systems (Cisco Systems Gold Partner) i spełnia wszystkie wymagania certyfikacyjne w zakresie obowiązujących zaawansowanych specjalizacji Cisco (Advanced Wireless LAN, Advanced Security, Advanced Unified Communication oraz Advanced Routing & Switching). Ponadto Firma dysponuje dedykowanym laboratorium sprzętowym, umożliwiającym wykonywanie zaawansowanych testów oraz pomiarów, także w środowisku użytkowników końcowych. W skład tego zestawu wchodzą bezprzewodowe punkty dostępowe Cisco Aironet 1500, szeroki zestaw anten oraz systemy umożliwiające zarządzanie i monitorowanie sieci bezprzewodowych. Konsultanci oraz inżynierowie SOLIDEX, posiadający kwalifikacje z zakresu technologii Cisco Outdoor Wireless Mesh, pomogą wykonać plany oraz projekty sieci bezprzewodowych zgodnie z wymaganiami naszych Klientów. Kolejny certyfikat Cisco przyznany Firmie jest dowodem wysokich kompetencji kadry inżynierskiej, co w połączeniu z wieloletnim doświadczeniem stanowi dla naszych Klientów najlepszą gwarancję powodzenia w realizacji powierzonych nam inwestycji teleinformatycznych. Więcej informacji na temat certyfikowanych Partnerów Cisco można znaleźć pod adresem: http://tools.cisco.com/WWChannels/ LOCATR/jsp/partner_locator.jsp SOLIDEX wdroży sieć WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego SOLIDEX 19 czerwca 2008 r. podpisał umowę na usługę zaprojektowania, instalacji i konfiguracji sieci bezprzewodowej WiFi w Urzędzie Marszałkowskim Województwa Małopolskiego. W ramach kontraktu SOLIDEX wykona pomiary określające docelową ilość i rozmieszczenie punktów dostępowych Ci- sco Aironet, zaprojektuje infrastrukturę WiFi, dokona jej montażu i konfiguracji, a także przeprowadzi testy poprawności działania i wydajności. Zgodnie z założeniami umowy infrastruktura zaprojektowana przez SOLIDEX obejmie swoim zasięgiem wszystkie pomieszczenia biurowe w budynkach należących do UMWM w Krakowie. Wykonana infrastruktura objęta będzie gwarancją, a zainstalowanym urządzeniom SOLIDEX zapewnieni profesjonalne wsparcie techniczne certyfikowanych inżynierów. SOLIDEX – 2. największym integratorem systemowym w Polsce w 2007 r. Według raportu Teleinfo 500 – przedstawiającego rynek teleinformatyczny w Polsce w 2007 roku, firma SOLIDEX SA znalazła się na drugim miejscu wśród największych integratorów systemowych w Polsce. Pozycję tę SOLIDEX zbudował w oparciu o odpowiedzialne podejście do bezpiecznego wdrażania najnowszych osiągnięć technologicznych, wysoką jakość specjalizowanych usług oraz najlepsze produkty uznanych na świecie producentów. Wieloletnie doświadczenie Firmy pozwoliło nam na zdobycie zaufania naszych Klientów, dla których realizujemy dowolnej skali i przezna- czenia systemy teleinformatyczne. SOLIDEX od lat należy do liderów w branży IT, co potwierdzają wysokie pozycje w rankingach Teleinfo 500 oraz Computerworld 200. INTEGRATOR REVIEW (iI/2008) 8 Nowości Rodzina Cisco ACE – nowe funkcjonalności Celem artykułu jest zapoznanie z rodziną urządzeń Cisco ACE – Application Control Engine oraz omówienie nowych funkcjonalności dostępnych w wersji drugiej oprogramowania dla modułu serwisowego Cisco ACE. Omówienie zasad działania i funkcjonalności load balancingu zostały opisane w Integratorze Online 9-10/2007 (94) w artykule pt. „Kompendium wiedzy o load balancingu oraz omówienie load balancerów firmy Cisco, Juniper i F5”. Urządzenia Application Control Engine integrują następujące funkcje: •Load balancing, •SSL Offload, •Bezpieczeństwo dla Data Center. ACE najczęściej stosujemy w celu zapewnienia wirtualizacji elementów Centrum Przetwarzania Danych. Wirtualizacja elementów CPD jest kluczowa dla jago skalowalności, wysokiej dostępności oraz bezpieczeństwa przy zachowaniu łatwości zarządzania. Rodzina produktów Cisco ACE składa się z: •Modułów serwisowych ACE dla Catalyst’a 6500, routera 7600, •Urządzeń typu Appliance – ACE 4710, •Firewalla aplikacyjnego – ACE XML Gateway, •ACE Global Site Selector. ACE 4710 Appliance Cisco ACE Global Site Selector Urządzenie ACE 4710 Appliance umożliwia przetwarzanie danych z szybkością do 2 Gb/s oraz wykonywanie do 10 000 transakcji SSL na sekundę. Ponadto posiada cztery porty typu Ethernet 10/100/1000, a także zapewnia zawansowane funkcjonalności, jakie daje moduł serwisowy ACE z jednoczesnymi zaletami urządzeń pracujących samodzielne. Cisco ACE Global Site Selector (GSS) jest urządzeniem typu Global Server Load Balancing (GSLB), które zapewnia zwiększenie poziomu dostępności oraz redundancję usług sieciowych w skali organizacji rozproszonej geograficznie. Jest to możliwe dzięki kierowaniu ruchem w zależności od odległości i dostępności ośrodków Data Center, wyposażonych w urządzenia rodziny Cisco ACE. ACE GSS umożliwia dynamiczne rozkładanie ruchu pomiędzy lokalizacjami rozproszonymi geograficznie, poprzez przekierowywanie zapytań do najszybszych lokalizacji z punktu widzenia poszczególnych klientów. W chwili awarii jednego z ośrodków Data Center jest on automatycznie usuwany z grupy do momentu, kiedy znów stanie się dostępny. ACE Global Site Selector polega na manipulowaniu rekordami DNS. Klient wysyłając zapytanie o nazwę hosta, otrzymuje od serwera DNS odpowiedź, zawierającą adresy IP dostępnych usług. ACE XML Gateway Rozwiązanie ACE XML Gateway jest firewallem aplikacyjnym umożliwiającym osiągnięcie wyższego poziomu bezpieczeństwa, dostępności oraz wydajności aplikacji usług webowych bazujący na protokołach XML (Extensible Markup Language) oraz SOAP (Simple Object Access Protocol). W nowej wersji udoskonalono monitorowanie wydajności bramy oraz raportowanie zdarzeń. ACE XML Gateway zapewnia wydajność do 30 000 transakcji XML na sekundę. Moduł serwisowy ACE jest dedykowanym rozwiązaniem sprzętowym dla przełączników Catalyst serii 6500 oraz routerów serii 7600. Moduł ACE w zależności od wersji licencji zapewnia: Rys.1 Rodzina produktów Cisco ACE •wydajność 4 Gbps, 8 Gbps oraz 16 Gbps, •obsługę do 6.5 miliona pakietów na sekundę, •4 miliony jednoczesnych połączeń, •350 000 połączeń na sekundę (L4). © SOLIDEX, 2008 9 Nowości •SYN to SYN-ACK. Czas pomiędzy wysłaniem SYN z ACE do momentu otrzymania SYN-ACK od serwera. •SYN to Close. Czas pomiędzy wysłaniem SYN z ACE do momentu otrzymania FIN/RST od serwera. •Application Request to Response. Czas pomiędzy wysłaniem żądania HTTP z ACE do momentu odpowiedzi http od serwera. Algorytm Least-Loaded Using SNMP automatycznie oblicza najmniej obciążony serwer na podstawie odpowiedzi SNMP otrzymanych od serwerów. Jest to jedna z najbardziej dokładnych me- Rys.2 Cisco ACE Module Istnieje możliwość uzyskania wydajności do 64 Gbps poprzez wykorzystanie czterech modułów serwisowych w jednym urządzeniu. Cechy oprogramowania modułów serwisowych ACE w wersji 2.0 Nowa wersja oprogramowania dla modułów serwisowych ACE dostępna jest od 6 marca 2008 roku. Oprogramowanie w wersji drugiej o numerze release A2(1.0) i nazwie c6ace-t1k9_mz.A2_1. bin jest dedykowane dla modułów ACE w wersji- ACE10 (ACE10-6500-K9) oraz ACE20 (ACE20-MOD-K9). Oprogramowanie to znacznie rozszerza możliwości funkcjonalne wcześniejszej wersji oprogramowania w zakresie protokołów balansowania ruchu, akceleracji oraz mechanizmów zapewniających ochronę aplikacji. Nowa wersja rozszerza wspierane protokoły równoważenia obciążenia o protokoły aplikacyjne, takie jak: •SIP, •Extended RTSP, •RADIUS, •RDP. Dla innych protokółów aplikacyjnych istnieje możliwości balansowania ruchu za pomocą protokołu Generic Protocol Parsing. Działanie protokołu GPP polega na analizie zawartości pakietów ACE najczęściej stosujemy w celu zapewnienia wirtualizacji elementów Centrum Przetwarzania Danych (CPD). Wirtualizacja elementów CPD jest kluczowa dla jago skalowalności, wysokiej dostępności oraz bezpieczeństwa przy zachowaniu łatwości zarządzania. protokołu UDP oraz sesji TCP (L4) za pomocą wyrażeń regularnych. Na podstawie danych uzyskanych z analizy możliwe jest balansowanie ruchu dla nieznanych protokołów. Istotną cechą oprogramowania w wersji 2.0 są nowe algorytmy równoważenia ruchu (predictors). Algorytmy te określają, w jaki sposób ruch jest rozkładany (balansowany) pomiędzy poszczególne serwery w farmie serwerów. Oprócz znanych z wcześniejszej wersji algorytmów, takich jak „Round Robin” (przydzielanie sesji kolejnym serwerom) czy „Least connections” (przydzielanie sesji serwerom o najmniejszej liczbie połączeń) wprowadzono nowe algorytmy: •Adaptive Response Predictor, •Least Loaded, •Least Bandwidth. Działanie algorytmu Adaptive Response polega na rozkładaniu ruchu na bazie czasu odpowiedzi serwerów. Czas ten jest obliczany na podstawie ilości skonfigurowanych próbek. Możliwe są trzy opcje mierzenia: tod obliczania obciążenia serwerów, która może wspierać obiekty SNMP (SNMP Object ID), takie jak: •CPU Utilization, •Memory Resources, •Disk Drive Availability. Algorytm Least-Bandwidth wybiera serwer, który przetworzył najmniejszą ilość ruchu sieciowego w określonym czasie. ACE mierzy statystyki ruchu do serwerów w obu kierunkach i oblicza pasmo wykorzystane w czasie próbkowania. Na podstawie wyników próbkowania tworzona jest uporządkowana lista serwerów. Funkcje bezpieczeństwa nowej wersji oprogramowania dla modułu ACE, oprócz zaawansowanej ochrony DoS (Denial-of-service), zostały rozszerzone o dodatkowe protokoły podlegające inspekcji: •SIP, •H.323, •ILS/LDAP, •Skinny. INTEGRATOR REVIEW (iI/2008) 10 Nowości ści, wydajności oraz bezpieczeństwa usług i aplikacji pracujących w centrach danych przy jednoczesnej redukcji kosztów utrzymania. Rys.3 Rozkładanie ruchu na bazie czasu odpowiedzi serwerów Moduł ACE posiada zaawansowane mechanizmy bezpieczeństwa typu firewall aplikacyjny oraz większą wydajność w stosunku do modułu serwisowego firewall – FWSM. Należy jednak pamiętać, iż moduł ACE posiada także pewne ograniczenia i nie powinien stanowić jego alternatywy. terfejs GUI FW, brak obsługi dynamicznego routingu oraz protokołów typu multicast. Implementacja funkcjonalności AAA nie jest możliwa dla ruchu produkcyjnego, a jedynie dla ruchu zarządzającego. Ograniczone funkcje ACE w stosunku do FWSM to między innymi ograniczona inspekcja protokołów: ICMP, RTSP, FTP, DNS, brak innych funkcji bezpieczeństwa, takich jak: współdziałanie z mechanizmami filtrowania URL, in- Rodzina urządzeń Application Control Engine (ACE) stanowi element architektury Data Center 3.0 czyli koncepcji budowy zaawansowanych centrów danych nowej generacji. Rodzina Cisco ACE zapewnia zwiększenie dostępno- Wnioski: Nowa wersja oprogramowania modułu serwisowego ACE dla przełączników Catalyst serii 6500 oraz routerów serii 7600 zapewnia znaczne ulepszenia w stosunku do wcześniejszej wersji. Wersja 2.0 wspiera dodatkowe protokoły aplikacyjne oraz zapewnia równoważenie ruchu w oparciu o ulepszone algorytmy balansowania. W nowej wersji ulepszone zostały mechanizmy obsługi akceleracji protokołu SSL, natomiast bezpieczeństwo aplikacji osiągnięto dzięki rozbudowie mechanizmów inspekcji protokołów oraz ochronie DoS. Aleksander Jagosz Inżynier Konsultant Dbamy o to, by integracja była nie tylko rzemiosłem, ale i sztuką www.SOLIDEX.com.pl © SOLIDEX, 2008 11 Nowości IronPort – systemy antyspamowe i antywirusowe Systemy zabezpieczeń pełnią istotną rolę w dzisiejszych sieciach teleinformatycznych, ochraniając kluczowe zasoby sieci wewnętrznych. Wychodząc naprzeciw rosnącym wymaganiom rynku, firma IronPort oferuje kompletne portfolio produktów, służących do zabezpieczenia poczty elektronicznej oraz ruchu internetowego na brzegu sieci. Firma IronPort jest wiodącym dostawcą i liderem na rynku z zakresu rozwiązań dotyczących zabezpieczeń poczty elektronicznej oraz ochrony przed zagrożeniami związanymi z ruchem internetowym, które stoją przed sieciami korporacyjnymi, tj. zagrożeniami bezpieczeństwa zasobów oraz zgodności z prawem. ruchu smtp oraz http, dla każdego z serwerów poczty w Internecie, obsługując dziennie ponad 30 miliardów zapytań z każdego zakątka globu. Dane bazy SenderBase są dostępne dla zarejestrowanych w programie instytucji, biorących udział w walce przeciw spamowi. Firma IronPort jest wiodącym dostawcą i liderem na rynku z zakresu rozwiązań dotyczących zabezpieczeń poczty elektronicznej oraz ochrony przed zagrożeniami związanymi z ruchem internetowym, które stoją przed sieciami korporacyjnymi, tj. zagrożeniami bezpieczeństwa zasobów oraz zgodności z prawem. W ofercie IronPort znajdują się trzy linie produktowe: •C-Series Email Security Appliances, •S-Series Web Security Appliances, •M-Series Secrity Management Appliances. Urządzenia firmy IronPort zawdzięczają swój sukces zastosowaniu unikalnej technologii, jaką jest baza SenderBase. SenderBase to pierwszy na świecie i największy system globalnego monitoringu ruchu internetowego oraz mailowego w oparciu o filtr reputacyjny. Baza gromadzi dane od ponad 100,000 dostawców internetu (ISP), firm użyteczności publicznej, uniwersytetów i komercyjnych przedsiębiorstw z całego świata. SenderBase mierzy ponad 150 różnych parametrów, dotyczących C-Series – Ochrona Poczty W dzisiejszych czasach poczta elektroniczna odgrywa kluczową rolę w komunikacji pomiędzy kontrahentami, zmuszając przedsiębiorstwa do ochrony własnej infrastruktury pocztowej nie tylko przed spamem, ale także przed wirusami czy malwarem, dla którego poczta elektroniczna jest głównym medium dystrybucyjnym. Urządzenia C-Series gwarantują stabilną ochronę sieci przy jednoczesnym uproszczeniu struktury strefy bezpieczeństwa, zapewniając niezawodną pracę, dostarczającą wysoką dostępność ważnych kanałów poczty elektronicznej. Urządzenia C-Series korzystają z wielowarstwowej ochrony poczty elektronicznej w oparciu o najważniejsze funkcje: •Anty Spam w celu oceny ryzyka Rys.1 Rodzina produktów IronPort INTEGRATOR REVIEW (iI/2008) 12 Nowości technologię IronPort PXE, szyfrowanie wiadomości pozwala na prostą i bezpieczną łączność dwukierunkową z dowolnym odbiorcą poczty, poprzez uwierzytelnianie odbiorcy i bezpieczne dostarczenie klucza, śledzenie wiadomości czy bezpieczną odpowiedź. •DLP – funkcjonalność „Data Lost Prevention” pozwala na sankcjonowanie polityki bezpieczeństwa dla poczty przychodzącej i wychodzącej, przez blokowanie komunikacji z konkurencją bądź podejrzanymi adresatami, blokowanie treści obraźliwych czy też wymuszanie polityki komunikacji (np. poprzez dozwoloną wielkość maksymalnego załącznika). Rys.2 Baza SenderBase Zarządzanie poprzez zintegrowany interfejs WWW umożliwia dostęp do raportów historycznych oraz pozwala na konfigurowanie reguł, wyszukiwanie i selektywne zwalnianie wiadomości poddanych kwarantannie: Rys.3 Konsolidacja zabezpieczeń poczty elektronicznej na brzegu sieci związanego z poszczególnymi wiadomościami elektronicznymi korzysta z filtra reputacyjnego, bazującego na systemie SenderBase i w czasie rzeczywistym identyfikuje podejrzanych nadawców wiadomości. Filtr reputacyjny, przydzielający przesyłanym wiadomościom określony w skali od -10 do +10 poziom zaufania, pozwala na blokowanie do 80% spamu, próbującego dostać się do sieci wewnętrznej przedsiębiorstw. •Anty Wirus – filtr antywirusowy poprzez identyfikację i kwarantannę podejrzanych wiadomości pozwala na powstrzymywanie wirusów rozsyłanych drogą poczty elektronicznej. Dodatkowo, wykorzystywanie w tym celu sygnatur dwóch producentów (Sophos oraz McAfee) pozwala na kompleksowe, szeregowe skanowanie zawartości wiadomości. •Email Encryption – umożliwia ochronę danych poufnych. Wykorzystując •Mail Flow Central – kontrola stanu wiadomości, która trafiła w obręb wewnętrznej infrastruktury poprzez narzędzie do raportowania, pozwala na błyskawiczne odpowiedzi na zgłoszenia od użytkowników końcowych. •Email Security Monitor – monitorowanie i raportowanie o zagrożeniach w czasie rzeczywistym. Funkcja ta pozwala śledzić wszystkie systemy, nawiązujące połączenie z danym urządzeniem IronPort w celu identyfikacji zagrożeń internetowych, takich jak: spam, wirusy oraz ataki typu Denial of Service. •Spam Quarantine – samoobsługowa NARZĘDZIA ZARZĄDZANIA OCHRONA PRZED OCHRONA PRZED ZAPOBIEGANIE SPAMEM UTRACIE DANYCH WIRUSAMI SZYFROWANIE E-MAILI PLATFORMA E-MAILOWA IRONPORT OPARTA NA SYSTEMIE ASYNCOS Rys.4 Wielowarstwowa ochrona poczty e-mail © SOLIDEX, 2008 13 Nowości kwarantanna dla użytkowników, stwarzająca możliwość centralnego przechowywania spamu. •ContentScanning umożliwia wprowadzenie i wymuszenie przestrzegania standardów prawnych i reguł dozwolonego użytkowania poczty w oparciu o kontrolę zawartości wiadomości. W portfolio bram zabezpieczających pocztę elektroniczną, znajdują się platformy dostosowane do wymagań klientów z każdego sektora rynku: •C150 – do 1.000 użytkowników albo 18.000 MPH (Message Per Hour). Rozwiązanie rekomendowane dla małych i średnich przedsiębiorstw. •C350 – do 10.000 użytkowników lub 46.800 MPH. Rozwiązanie rekomendowane dla średnich i dużych przedsiębiorstw. •C350D – rozwiązanie dla przedsiębiorstw z unikalną i nietypową polityką maili wychodzących. •C650 – do 20.000 użytkowników lub 104.400 MPH. Rozwiązanie rekomendowane dla dużych i przedsiębiorstw typu enterprise. •X1050 – do 255.600 MPH. Rozwiązanie rekomendowane dla dużych przedsiębiorstw enterprise i ISP. Rys.5 Szyfrowanie wiadomości z wykorzystaniem PXE S-Series – Kontrola ruchu internetowego Rosnąca na przestrzeni ostatnich lat liczba zagrożeń bezpieczeństwa, które pojawiają się wraz z ruchem internetowym pokazała, że dotychczasowe metody ochrony sieci przestają być wystarczające. Tradycyjne bramki sieciowe nie są skuteczne w konfrontacji z lawinowo rozprzestrzeniającą się gamą złośliwych programów, pochodzących z Internetu, narażając tym samym sieci korporacyjne na niebezpieczeństwo stwarzane przez te zagrożenia. Dodatkowo oprócz zagrożeń bezpieczeństwa wynikających z działania złośliwego oprogramowania, ruch sieciowy naraża także przedsiębiorstwa na ryzyko, dotyczące zgodności i produktywności, wynikające z niewłaściwego wykorzystywania zasobów sieci Internet przez pracowników firm. Urządzenie zabezpieczenia sieciowego IronPort S-Series Web Security Appliance to pierwsza w branży platforma łącząca tradycyjne filtrowanie adresów URL z unikalnymi filtrami reputacyjnymi oraz filtrowaniem złośliwego oprogramowania na jednej maszynie. Platforma S-Series może być instalowana w wielu trybach tj. jawny przekazujący serwer proxy dla sieci, transparentna instalacja poza przełącznikiem w warstwie 4 lub jako router WCCP w obrębie sieci, pozwalając na elastyczną budowę sieci korporacyjnej. Urządzenia S-Series to wielowarstwowy gateway zabezpieczający, obejmujący filtr reputacyjny, mechanizmy skanowania w poszukiwaniu złośliwego oprogramowania, monitor ruchu w warstwie 4 (L4) wykrywający działanie niepożądanych aplikacji przez porty inne niż port 80. •Serwer proxy sieci Web – podstawowa funkcjonalność pozwalająca na dogłębną analizę treści, która jest istotna dla precyzyjnego wykrywania oprogramowania z Internetu. Serwer proxy działa w oparciu o autorski system operacyjny IronPort AsyncOS, umożliwiający sprawne dostarczanie treści buforowanych stron internetowych, dzięki wysoce inteligentnemu zarządzaniu pamięcią, dyskiem oraz jądrem. S-Series może być skonfigurowane jako samodzielny serwer proxy lub współ- Rys.6 Gateway zabezpieczający ruch WWW INTEGRATOR REVIEW (iI/2008) 14 Nowości pracować z innymi serwerami. •Monitor ruchu L4 – skanuje z prędkością transmisji cały ruch TCP/IP na wszystkich 65 535 portach, wykrywa zainstalowany malware, skutecznie zatrzymując złośliwe oprogramowanie, który próbuje obchodzić port 80 przy komunikacji z Internetem. Korzystając z dodatkowej funkcji, jaką jest dynamiczne dodawanie adresów IP znanych złośliwych programów do swojej listy portów i adresów IP, umożliwia szybsze ich wykrywanie i blokowanie. Dzięki tej możliwości, monitor ruchu L4 przegląda ruch złośliwego oprogramowania niemalże w czasie rzeczywistym – nawet w przypadku, gdy zainfekowany host próbuje uniknąć wykrycia, zmieniając adresy IP. •IronPort URL Filters – dysponując bazą URL, zawierającą 20 milionów witryn (co odpowiada ponad 3 miliardom stron internetowych) w 70 językach i 200 krajach, skategoryzowaną w 52 wstępnie zdefiniowanych kategoriach – urządzenia IronPort oferują wysoki wskaźnik precyzji w kontrolowaniu treści internetowych. •IronPort Web Reputation Filters – korzystając z bazy SenderBase, filtr reputacyjny używa ponad 50 różnych parametrów, związanych z ruchem w sieci Internet do precyzyjnej oceny wiarygodności adresu URL, następnie generowany jest pojedynczy wynik (w skali od -10 do +10) dla danego adresu URL, będący podstawą podjęcia decyzji o zablokowaniu strony WWW. •Anty Wirus – podobnie jak ma to miejsce w urządzeniach C-Series, gateway WWW korzysta z dwóch filtrów antywirusowych, opartych tym razem o sygnatury dwóch producentów (Webroot oraz McAfee), tak aby zapewnić najwyższy poziom ochrony przed różnymi zagrożeniami z Internetu. •IronPort Web Security Manager – obraz wszystkich zasad dostępu i zabezpieczeń skonfigurowanych w urządzeniu. Z jednego miejsca Rys.7 Wielowarstwowy gateway WWW odbywa się zarządzanie wszystkimi zasadami dostępu do Internetu (filtrowanie adresów URL, filtrowanie reputacyjne oraz filtrowanie złośliwego oprogramowania). Dodatkowo, istnieje możliwość dopasowywania kryteriów i wiązania ich z klientami (np. adres IP, uwierzytelniona nazwa użytkownika itd.) •IronPort Web Security Monitor – podgląd na wszystkie działania internetowe, w celu np. identyfikacji zagrożeń i zapobiegania im w ramach opieki nad siecią korporacyjną. M-Series Uzupełnieniem portfolio produktów do ochrony poczty oraz ruchu internetowego jest urządzenie IronPort M-Series, służące do zarządzania polityką bezpieczeństwa. Urządzenie IronPort M-Series pozwala na gromadzenie i konsolidację w jednym miejscu wszelkich istotnych danych, dotyczących zasad konfiguracji i opieki nad systemem, oferując administratorowi i użytkownikowi pojedynczy interfejs do zarządzania systemami zabezpieczeń poczty elektronicznej oraz ruchu internetowego. Rys.8 Filtr reputacyjny Gama bram bezpieczeństwa WWW obejmuje dwa modele: •S350 – Rozwiązanie dedykowane dla przedsiębiorstw posiadających 1-5000 użytkowników. Posiada te same funkcje co urządzenie S650. •S650 – Rozwiązanie dedykowane dla przedsiębiorstw od 250-10.000 użytkowników. Szymon Poliński Inżynier Konsultant © SOLIDEX, 2008 15 Nowości Nowoczesne systemy ochrony informacji – Imperva Obecnie rynek firewalli aplikacyjnych rozwija się bardzo dynamicznie, a sam firewall aplikacyjny najczęściej jest utożsamiany z Web Application Firewallem (WAF). Aplikacje Web prezentują dane klientom i wydaje się, że dlatego są najczęstszym celem ataków, przez co należy je dodatkowo ochraniać. Warto jednak zastanowić się, czy ochrona samej aplikacji Web jest wystarczająca? A co z połączeniami nawiązywanymi przez aplikację, czyli na przykład połączeniami do baz danych? Może warto zwiększyć kontrolę nad dostępem do samej informacji, która przechowywana jest właśnie w bazie danych, a nie tylko chronić moduł, prezentujący te informacje. Imperva SecureSphere to nowoczesny system ochrony zbudowany z aplikacyjnego firewalla Web oraz aplikacyjnego firewalla baz danych. Połączenie tych dwóch elementów w jednym rozwią- tego rozwiązania jest również zautomatyzowanie procesu nauki i aktualizacji kontekstu aplikacyjnego chronionych zasobów, zarówno w przypadku aplikacji Web czy baz danych. Warto podkreślić, że proces nauki oraz aktualizacji odbywa się w pełni automatycznie, choć oczywiście administrator powinien dostroić odpowiednio profil. Dodatkowo SecureSphere posiada możliwość nauki formularzy, służących do logowania się użytkowników do aplikacji Web. zaniu daje niespotykane dotąd możliwości korelacji informacji na temat komunikacji przeprowadzanej w ramach systemu aplikacyjnego. Istotną cechą Niniejszy artykuł ma za zadanie przedstawić elementy systemu oraz wskazać korzyści płynące z integracji kilku elementów firewalla aplikacyjnego. Rys.1 Architektura rozwiązań Imperva SecureSphere Web Application Firewall Jednym z kluczowych elementów systemu jest Imperva SecureSphere Web Application Firewall, który wykorzystuje tzw. pozytywny model bezpieczeństwa, aby osłaniać chronione aplikacje. Pozytywny model oznacza sytuację, w której definiowane jest poprawne zachowanie chronionej aplikacji, a wszelkie próby wyjścia poza to poprawne zachowanie są blokowane. Aby zdefiniować poprawne zachowanie, trzeba mieć świadomość całej aplikacji – firewall aplikacyjny musi się jej nauczyć. Za naukę aplikacji w SecureSphere odpowiada moduł Dynamic profiling. Zastosowana technologia pozwala na podstawie analizy obserwowanego ruchu zbudować odzwierciedlenie całej struktury aplikacji, składającej się z katalogów, URLi, metod dostępu, parametrów, typów wartości oraz długości ciągów znaków wprowadzanych przez użytkowników w poszczególnych formatkach. Warto podkreślić, że proces nauki oraz aktualizacji odbywa się w pełni automatycznie, choć oczywiście administrator powinien dostroić odpowiednio profil. Dodatkowo SecureSphere posiada możliwość nauki formularzy, służących do logowania się użytkowników do aplikacji Web. Dzięki temu możliwe jest śledzenie aktywności użytkowników poprzez moduł Web Application User Tracking, co jest funkcją unikalną na rynku. System SecuReSphere koreluje nazwę użytkownika, logującego się do aplikacji z identyfikatorem sesji lub wartością Cookie, co pozwala na audy- INTEGRATOR REVIEW (iI/2008) 16 Nowości towanie działalności użytkownika. Śledzenie jest realizowanie na podstawie nazwy użytkownika zalogowanego do aplikacji, a nie tylko adresów IP, z których użytkownik się łączy. Dzięki temu możemy rozróżnić aktywność użytkowników, łączących się zza serwerów proxy lub z sieci prywatnych, za urządzeniami realizującymi translację NAT. Na podstawie stworzonych profili aplikacji budowana jest polityka bezpieczeństwa złożona z reguł zdefiniowanych poprzez zdarzenia, priorytet, reakcję natychmiastową (czy pakiet ma być blokowany), wskazanie dalszych akcji (blokowanie lub śledzenie źródła, wysłanie informacji do serwera syslog etc.), dystrybucji reguły do poszczególnych obiektów oraz aktywacji reguły. Database Security Gateway Drugim z podstawowych elementów systemu SecureSphere jest firewall baz danych Database Security Gateway (DSG). Stosowane dotychczas tradycyjne zabezpieczenia, takie jak systemy IPS/ IDS, poddając analizie ruch kierowany do baz danych, sprawdzają poprawność protokołu komunikacji oraz poprawność składni wysyłanych zapytań. Takie rozwiązania nie mają jednak świadomości chronionych zasobów, dlatego nie mogą na przykład blokować dostępu do poszczególnych części bazy jak tabele itp. Imperva DSG również posiada możliwość kontrolowania poprawności ruchu bazdodanowego, a informacje pochodzące z Application Defense Center o najnowszych podatnościach i zagrożeniach, pozwalają chronić bazę danych przed znanymi atakami. Kluczowym wyróżnikiem Database Security Gateway jest jednak świadomość chronionych zasobów, a co za tym idzie bardzo granularna możliwość kontroli. Na podstawie obserwacji ruchu kierowanego do baz danych moduł ten w sposób automatyczny uczy się: •użytkowników (administrator posiada możliwość grupowania użytkow- Audyt bazy danych Wykrywanie błędów bezpieczeństwa Korelacja zdarzeń bezpieczeństwa /IMPERVA Correlated Attack Violation/ Ataki „nieznanych” robaków Web /analiza heurystyczna/ Naruszenia profili aplikacji Web i SQL /automatyczne tworzenie i aktualizacja profili/ Ataki poziomu aplikacji Web i SQL /wykrywanie przez sygnatury/ Anomalie protokołów Web i SQL /niezgodności z RFC/ Sieciowy system ochrony przed intruzami (network IPS) /sygnatury SNORT i IMPERVA/ Zapora sieciowa (network firewall) Ruch HTTP/SSL Ruch do bazy danych / Oracle, Sybase, DB2, MS-SQL/ Inna komunikacja sieciowa Zablokowanie pakietów, wysłanie TCP Reset Rys.2 Funkcje ochrony rodziny rozwiązań Imperva SecureSphere ników oraz zarządzania całą grupą – zdefiniowane atrybuty są współdzielone pomiędzy użytkownikami), •źródeł, z których dany użytkownik może łączyć się do bazy danych (adresy IP, nazwy aplikacji, nazwy systemu operacyjnego, nazwy użytkownika OS), •schematu bazy danych (tabele, typy zapytań wykonywane na danej tabeli), •szczegółowych zapytań wykonywanych na poszczególnych tabelach. w ramach odpowiedniej bazy danych. Jak widać, w tym przypadku również został zastosowany pozytywny model bezpieczeństwa – czyli definiowany jest poprawny model komunikacji i wszystko, co wykracza poza ten model, jest blokowane lub administrator jest informowany, o występującym naruszeniu. Dodatkowe funkcje ochrony Rozwiązanie Imperva SecureSphere jest systemem łączącym w sobie wiele różnych mechanizmów ochrony. Oprócz Kluczowym wyróżnikiem Database Security Gateway jest jednak świadomość chronionych zasobów, a co za tym idzie bardzo granularna możliwość kontroli. Mając tak dogłębną informację o chronionej bazie danych, możemy kontrolować dostęp do poszczególnych tabel, definiując czarną-listę tabel lub tzw. tabele z informacjami niejawnymi, do których pewni użytkownicy nie powinni mieć dostępu. Możemy również grupując zapytania w tzw. query groups, zdefiniować poprawne zapytania, wspomnianych wcześniej funkcjonalności firewalla aplikacyjnego Web i baz danych, SecureSphere posiada również: •Zaporę sieciową firewall chroniącą przed nieautoryzowanymi użytkownikami, niebezpiecznymi protokołami i innymi znanymi atakami warstwy sieciowej. © SOLIDEX, 2008 17 Nowości •Sieciowy system ochrony przed intruzami IPS chroniący przed znanymi atakami skierowanymi na serwery Web, serwery aplikacyjne czy systemy operacyjne. Dzięki aktualizacjom dostarczanym z laboratorium Imperva Application Defense Center (ADC) – odpowiedzialnemu za śledzenie i analizowanie nowych zagrożeń – chronione zasoby w krótkim czasie są odporne, na pojawiające się nowe niebezpieczeństwa. »»SNMP, »»syslog, »»e-mail. Dodatkowym elementem pozwalającym na inteligentną reakcję, na pojawiające się zdarzenia bezpieczeństwa, jest moduł Correlated Attack Validation. CAV decyduje o podjęciu akcji, na podstawie korelacji informacji o pojawiających się zdarzeniach, takich jak liczność, częstotliwość czy rodzaj zdarzenia. Reguły Warto zauważyć również, że najczęściej aplikacja jest zbudowana w ten sposób, że zapytania do baz danych są wykonywane poprzez samą aplikację z uprawnieniami użytkownika systemowego. Administrator baz danych nie ma zatem możliwości rozróżnienia zapytań, przychodzących z serwera aplikacyjnego. nieczności przebudowy kodu aplikacji, używając modułu Web application user tracking. Dodatkowo w DSG wbudowano funkcjonalność SQL Connection User Tracking, który pozwala na audyt działań użytkowników baz danych. Część aplikacji biznesowych przekazuje w każdym zapytaniu lub w grupie zapytań SQL do baz danych nazwę użytkownika, powiązanego z daną transakcją. SQL Connection User Tracking umożliwia zidentyfikowanie nazwy użytkownika przesyłanej w tych zapytaniach, dzięki temu w logach systemu możemy jasno określić, dla jakiego użytkownika aplikacji wykonała ona zapytanie do bazy danych. Dodatkowo, w sytuacji, kiedy aplikacja nie przekazuje nazwy lub ID użytkownika, z pomocą przychodzi korelacja informacji z WAF i DSG. Univeral User Tracking umożliwia transparentne skorelowanie nazw użytkowników zalogowanych w aplikacji Web z dokonywanymi przez tę aplikację transakcjami w bazie. W sytuacji wykrycia naruszenia polityki bezpieczeństwa istnieje możliwość zdefiniowania odpowiedniej akcji, jaka ma być podjęta przez system. Przykładowymi sposobami reakcji systemu na atak może być: korelacji pozwalają na przykład podjąć akcję dopiero w sytuacji, gdy dane zdarzenie wystąpi kilkukrotnie w okresie zdefiniowanego czasu. •Blokowanie ataku (w czasie rzeczywistym) »»blokuje natychmiastowo pakiet oraz połączenie, »»w trybie „sniffer” urządzenie wysyła pakiet z flagą TCP Reset do serwera/klienta w celu zerwania połączenia, »»po wykonanej próbie ataku intruz może w dalszym ciągu połączyć się z serwerem. •Blokowanie źródła ataku »»blokuje źródło na zdefiniowany przez administratora okres czasu, »»całość dalszej komunikacji będzie blokowana, »»możliwość blokowania IP, ID sesji bądź aktywności danego użytkownika. •Dodatkowo »»monitorowanie dalszych czynności użytkownika, »»wysyłanie informacji o zajściu zdarzenia, Funkcją, na którą należy zwrócić szczególną uwagę jest tzw. Universlal User Tracking. Ewentualne nadużycia bezpieczeństwa dokonane w bazie danych zostaną przypisane do określonego użytkownika aplikacji. Jak już wspomniano, WAF posiada możliwość rozpoznawania użytkowników, korzystających z aplikacji Web bez ko- Korelacja dokonywana jest na podstawie nazwy użytkownika, a nie adresu IP urządzenia z jakiego użytkownik Śledzenie użytkowników Rys.3 Mechanizm działania modułu Correlated Attack Validation INTEGRATOR REVIEW (iI/2008) 18 Nowości go z odpowiednimi wzorcami oraz poprzez aktywne skanowanie bazy danych w poszukiwaniu wrażliwych informacji, podatności lub naruszeń uprawnień. Zgromadzone informacje można w automatyczny sposób wykorzystać do porównania zgodności z międzynarodowymi regulacjami, takimi jak SOX, HIPAA, GLBA, PCI czy CA 1386. Sposoby wdrożenia Rys.4 Mechanizm działania funkcji Universal User Tracking łączy się z serwerem aplikacyjnym. Takie rozwiązanie pozwala na śledzenie użytkowników, łączących się poprzez popularne serwery proxy lub z sieci prywatnych translowanych na jeden adres publiczny. Warto zauważyć również, że najczęściej aplikacja jest zbudowana w ten sposób, że zapytania do baz danych są wykonywane poprzez samą aplikację z uprawnieniami użytkownika systemowego. Administrator baz danych nie ma zatem możliwości rozróżnienia zapytań, przychodzących z serwera aplikacyjnego. Jednak dzięki korelacji informacji pochodzących z obu modułów DSG i WAF, SecureSphere w sposób precyzyjny potrafi określić, które zapytanie do bazy danych jest związane z konkretnym zapytaniem od użytkownika do serwera aplikacyjnego. Audytowanie i ocena baz danych Działalność użytkowników i administratorów baz danych często nie jest w żaden sposób kontrolowana, co może prowadzić do naruszenia podstawowych zasad bezpieczeństwa. Wykorzystując wspomniany wcześniej mechanizm Universal User Tracking można w łatwy sposób - na podstawie analizy ruchu lub wykorzystując odpowiednich agentów bezpośrednio na bazie danych - audytować działalność użytkowników oraz administratorów. Jest to mechanizm nie- zależny od samej bazy danych, a co za tym idzie, nie obciąża jej dodatkowymi zadaniami oraz nie powoduje konfliktów administracyjnych. Rozbudowany moduł raportujący na podstawie zebranych danych audytowych w szybki Istnieje wiele sposobów wdrożenia elementów systemu SecureSphere, w zależności od trybu działania i oczekiwanej funkcjonalności. Najpopularniejszym modelem wdrożenia jest tryb mostu (bridge), w którym urządzenie kontroluje ruch sieciowy in-line i działa na poziomie warstwy drugiej modelu ISO/OSI. W celu podniesienia niezawodności systemu istnieje możliwość zbudowania tzw. klastra przy wykorzysta- Trzeba przyznać, że SecureSphere jest jednym z nielicznych rozwiązań, które nie skupia się tylko na chronieniu aplikacji Web, ale idzie o krok dalej, dostarczając rozwiązanie kontrolujące ruch do baz danych, oferuje kompletny system ochrony aplikacji. Innowacyjne rozwiązania, takie jak automatyczne nauczanie profili aplikacji, śledzenie aktywności użytkowników aplikacji Web oraz baz danych, wyznaczają kierunki rozwoju Firewalli Aplikacyjnych. i wygodny sposób może przedstawić w wybranej formie aktywność użytkowników w poszczególnych zasobach bazy danych. niu otwartego protokołu VRRP (Virtual Redundant Router Protocol) lub własnego protokołu IMPVHA (Imperva High Availability). Database Assesment to kolejna innowacyjna funkcjonalność Secure Sphere – pozwala ona na ocenę stanu bezpieczeństwa bazy danych – co jest bardzo istotnym zagadnieniem, biorąc pod uwagę fakt coraz częstszych ataków, wykorzystujących podatności baz danych lub słabości haseł. Badanie bazy danych odbywa się w dwojaki sposób – poprzez pasywną analizę ruchu i porównywanie Innym sposobem jest wdrożenie w trybie routera – urządzenie pracuje w warstwie trzeciej modelu ISO/OSI i posiada możliwość translowania adresów NAT. Web Application Firewall może również pracować jako Reverse Proxy (w tym trybie system może modyfikować zawartości pakietów, np. podpisywać Cookies lub modyfikować URLe) lub Transparent Reverse Proxy. W przypadku ruchu za- © SOLIDEX, 2008 19 Nowości Gateway Models G4 G8/XBEAM G16 Throughput 500Mb/Sec 1Gb/Sec 2Gb/Sec Max Transactions per Second 22,000 36,000 44,000 Max Recommended Web Servers 50 100 200 Form Factor 1U; Fault Tolerant Model 2U 1U; Fault Tolerant Model 2U Fault Tolerant Model 2U Deployment mode Bridge, Router, Proxy or Monitor Bridge, Router, Proxy or Monitor Bridge, Router, Proxy or Monitor Max Inline Bridge Segments 2 2 2 Max Routing Interfaces 5 5 5 Management Interfaces 1 1 1 High Availability Fail Open, IMPVHA, VRRP Fail Open, IMPVHA, VRRP Fail Open, IMPVHA, VRRP Integrated Management Option Yes Yes No Fault Tolerance Available Available Yes Gateway Models G4 G8/XBEAM G16 2Gb/Sec Tab.1 Web Application Firewall (WAF) Throughput 500Mb/Sec 1Gb/Sec Max SQL queries 50,000 100,000 200,000 Form Factor 1U; Fault Tolerant Model 2U 1U; Fault Tolerant Model 2U 1U; Fault Tolerant Model 2U Deployment mode Bridge, Router, Proxy or Monitor Bridge, Router, Proxy or Monitor Bridge, Router, Proxy or Monitor Max Inline Bridge Segments 2 2 2 Max Routing Interfaces 5 5 5 Management Interfaces 1 1 1 High Availability Fail Open, IMPVHA, VRRP Fail Open, IMPVHA, VRRP Fail Open, IMPVHA, VRRP Integrated Management Option Yes Yes No Fault Tolerance Available Available Yes •graficznego interfejsu zarządzającego dostępnego poprzez przeglądarkę Web. Serwer zarządzający MX jest dostępny jako dedykowane rozwiązanie typu appliance. Moduły zabezpieczeń również można zakupić jako dedykowane urządzenia lub licencję na oprogramowanie, które następnie może zostać zainstalowane na urządzeniu Crossbeam z serii X. W artykule zostały przedstawione parametry poszczególnych modeli urządzeń. Podsumowanie Trzeba przyznać, że SecureSphere jest jednym nielicznych rozwiązań, które nie skupia się tylko na chronieniu aplikacji Web, ale idzie o krok dalej, dostarczając rozwiązanie kontrolujące ruch do baz danych, oferuje kompletny system ochrony aplikacji. Innowacyjne rozwiązania, takie jak automatyczne nauczanie profili aplikacji, śledzenie aktywności użytkowników aplikacji Web oraz baz danych, wyznaczają kierunki rozwoju Firewalli Aplikacyjnych. Zastosowanie systemu Imperva SecureSphere może przynieść olbrzymie korzyści, podnosząc poziom bezpieczeństwa aplikacji, które najczęściej są dostępne globalnie poprzez sieć Internet. Wbudowany automatyzm pozwala również na szybkie wprowadzanie nowych usług, nie zmniejszając przy tym poziomu bezpieczeństwa całego systemu. Tab.2 Database Security Gateway (DSG) szyfrowanego HTTPS SecureSphere nie terminuje sesji SSL, a jedynie odszyfrowuje kopię ruchu oryginalnego, dzięki temu nie następuje degradacja wydajności urządzenia. Przechowywanie odpowiednich kluczy kryptograficznych oraz realizacja zadań związanych z deszyfracją mogą odbywać się bezpośrednio w urządzeniach SecureSphere lub w dedykowanych modułach sprzętowych HSM firm nCipher lub SafeNet . Architektura i urządzenia System SecureSphere posiada klasyczną trójwarstwową architekturę złożoną z : •serwera zarządzającego – MX Management Server, •modułów zabezpieczeń – Web Application Firewall, Database Security Gateway, Database Monitoring Gateway, Witold Mazanek Inżynier Konsultant INTEGRATOR REVIEW (iI/2008) 20 technologie Mechanizmy bezpieczeństwa w bezprzewodowych rozwiązaniach Cisco Systems W erze ogólnodostępnego Internetu oraz stosunkowo tanich i szeroko dostępnych urządzeń pozwalających korzystać z dobrodziejstw sieci Web w sposób bezprzewodowy, coraz większy nacisk kładzie się na zapewnienie bezpieczeństwa transmisji. To co jest największą zaletą transmisji bezprzewodowej, czyli ogólna dostępność oraz mobilność, jest również największą wadą. Z punktu widzenia bezpieczeństwa systemu informatycznego stwarza ona możliwość podsłuchiwania transmisji w zasadzie z dowolnego miejsca w obrębie zasięgu sieci. Standaryzowane mechanizmy bezpieczeństwa w WiFi Pierwsze próby stworzenia zabezpieczenia dla nowego typu zagrożeń zostały podjęte wraz z pojawieniem się standardów 802.11. Do uwierzytelniania oraz szyfrowania danych zastosowano mechanizm WEP. Szybko jednak okazało się, że WEP posiada znaczne słabości i obecnie jest do złamania nawet przez średnio zaawansowanego hackera w kilkanaście minut. Odpowiedzią ze strony projektantów było wprowadzenie nowych standardów WPA, a zaraz po nim WPA2. oraz jasno zdefiniowano mechanizmy generowania wektora IV, •MIC (Message Integrity Check) – poprawia bezpieczeństwo z punktu Samo szyfrowanie transmisji nie jest wystarczającym mechanizmem, zapewniającym bezpieczeństwo danych. Konieczne jest również zadbanie o właściwe i bezpieczne uwierzytelnianie użytkowników. Zarówno w standardzie WPA, jak i WPA2, możliwe jest zastosowanie uwierzytelniania PSK oraz 802.1x. Wprowadzenie WPA miało na celu stworzenie mechanizmu zwiększającego bezpieczeństwo sieci WLAN głównie przez eliminację największych słabości WEP z jednoczesnym zapewnieniem możliwie dużej kompatybilności wstecz ze starszymi urządzeniami klienckimi. Wraz z WPA wprowadzono: •TKIP (Temporal Key Integrity Protocol) – mechanizm bazuje na tym samym algorytmie szyfrowania co WEP, mianowicie RC4. Poprawiono w nim znacznie zarządzanie kluczami (inny klucz dla każdego pakietu) Kolejnym krokiem mającym na celu zwiększenie bezpieczeństwa transmisji było zastosowanie „mocniejszego” algorytmu szyfrowania danych (AES). Wymaga to jednak wsparcia ze strony urządzeń – nie tylko z punktu widzenia oprogramowania, ale również sprzętu. widzenia integralności danych oraz zapewnia ochronę przed fałszowaniem ramek. Uwierzytelnianie PSK polega na zastosowaniu klucza współdzielonego. Klucz taki jest znany klientowi oraz urządzeniu uwierzytelniającemu (punkt dostępowy). Na jego podstawie generowany jest cały zbiór innych kluczy wykorzystywanych potem w różnych obszarach transmisji. Metoda PSK ze względu na możliwość zastosowania „słabego” klucza oraz fakt, iż PSK jest jedynym parametrem używanym do uwierzytelnienia, nie powinna być stosowana w dużych sieciach korporacyjnych. Jednocześnie nie wymaga ona żadnych dodatko- © SOLIDEX, 2008 21 technologie bezpiecznych sieci bezprzewodowych. W dalszej część artykułu zostanie przybliżone kilka z nich. Centralne zarządzanie Rys.1 Uwierzytelnianie w oparciu o 802.1x wych komponentów, co powoduje, iż doskonale nadaje się do zastosowań domowych, w firmach typu SOHO lub tam, gdzie bezpieczeństwo danych oraz uwierzytelnianie klientów nie ma dużego znaczenia. Drugą metodą jest wykorzystanie standardu 802.1x. Metoda ta – poza urządzeniem uwierzytelniającym – wymaga zastosowania jednego z protokołów jak PEAP lub umożliwia użycie haseł jednorazowych jak PEAP-GTC. Co może Cisco Systems? Rozwiązania bezprzewodowe oferowane przez Cisco Systems posiadają zaimplementowane standardy wymienione wyżej oraz cały zbiór indywidualnych funkcjonalności, dzięki którym możliwa jest budowa wysoce Wprowadzenie WPA miało na celu stworzenie mechanizmu zwiększającego bezpieczeństwo sieci WLAN głównie przez eliminację największych słabości WEP z jednoczesnym zapewnieniem możliwie dużej kompatybilności wstecz ze starszymi urządzeniami klienckimi. EAP, serwera RADIUS oraz serwera przechowującego bazę użytkowników. Sercem systemu Unified Wireless jest kontroler bezprzewodowy, do którego została przeniesiona większość „inteligencji” punktów dostępowych. Rozwiązanie takie pozwala na efektywniejsze oraz szersze zarządzanie środowiskiem radiowym, mobilnością oraz bezpieczeństwem. Punkty dostępowe pełnią prawie wyłącznie rolę konwerterów medium przewodowego na bezprzewodowe. Dynamiczne przypisywanie polityki Kontroler posiada funkcjonalność umożliwiającą nadpisywanie parametrów, takich jak: QoS, ACL czy VLAN na podstawie informacji zwrotnych z serwera RADIUS, dzięki czemu możliwe jest dostosowywanie polityk bezpieczeństwa oraz jakości transmisji, nie tylko dla sieć WLAN (wybrane SSID), ale również dla konkretnego użytkownika. Wykluczanie klientów Kontroler pozwala monitorować połączenia i reagować na nieudane próby lo- Dzięki zastosowaniu serwera RADIUS oraz protokołu EAP możliwe jest uwierzytelnianie konkretnego użytkownika (certyfikat, nazwa, hasło) w systemie, jak również samego systemu w stronę użytkownika (certyfikat serwera). Na rysunku nr 2 został przedstawiony schemat komunikacji między komponentami systemu podczas procesu uwierzytelniania z użyciem 802.1x. Jako przykładowa została wybrana metoda EAP-TLS, która wymaga certyfikatu zarówno po stronie serwera, jak i klienta. Warto nadmienić, iż na potrzeby różnych systemów stworzono kilka odmian EAP, z których część nie wymaga certyfikatów jak EAP-FAST, wymaga jedynie certyfikatu po stronie serwera Rys.2 Przykład komunikacji 802.1x z EAP-TLS INTEGRATOR REVIEW (iI/2008) 22 technologie gowania do sieci, powielanie adresów IP lub ataki sieciowe wykryte przez system IPS, dzięki czemu użytkownicy, których działanie łamie politykę bezpieczeństwa instytucji, mogą być czasowo „odcinani” od możliwości logowania. Blokowanie ruchu Peer-to-peer Mówiąc o bezpieczeństwie sieci bezprzewodowej, należy pamiętać nie tylko o samej sieci, ale również o jej użytkownikach. Dzięki zastosowaniu Cisco Unified Wireless możliwe jest blokowanie połączeń pomiędzy klientami bezprzewodowymi zarówno poprzez kontroler, jak również bezpośrednio – bezprzewodowo. Wysoka niezawodność Jednym z aspektów bezpieczeństwa jest zapewnienie odporności sieci na awarie. Rozwiązanie Cisco Unified Wireless pozwala na budowę samouzdrawiających sieci, w których nie ma pojedynczego punktu awarii. Sieć nie tylko potrafi sobie radzić z fizycznymi uszkodzeniami, ale także automatycznie reagować na zwiany w dynamicznym środowisku radiowym, poprzez unikanie interferencji, równoważenie obciążenia czy mechanizmy optymalizacyjne. Wykrywanie innych sieci i urządzeń Dzięki zastosowaniu przyjaznego interfejsu użytkownika możliwe jest monitorowanie przestrzeni objętej zasięgiem sieci radiowej pod kątem pokrycia oraz obecności wszystkich innych urządzeń oraz sieci bezprzewodowych. W przypadku wykrycia nieautoryzowanych klientów lub sieci – system umożliwia ich skuteczne zakłócanie. Ochrona ramek zarządzających Jednym z ataków sieciowych, które mogą sprawić problemy użytkownikom mobilnym, jest wysyłanie przez atakującego ramek zwanych z ang. disassociation frames. Jak do tej pory, ramki takie nie były w żaden sposób autoryzowane lub szyfrowane, co w łatwy sposób mogło być wykorzystane w celu utrudnienia pracy. Rozwiązanie Cisco Unified Wireless pozwala na ochronę ramek zarządzających przez dodanie do każdej z nich miniaturowej sygnaturki, dzięki czemu stacja końcowa jest w stanie zweryfikować tożsamość nadającego i nie reagować na ramki z błędną sygnaturką. Te oraz wiele innych mechanizmów umożliwiają implementację skutecznych metod ochrony sieci bezprzewodowej przed nieuwierzytelnionym dostępem oraz kradzieżą danych. Celem poznania pełnych możliwości Cisco Unified Wireless zachęcamy do zapoznania się z ogólnie dostępnymi dokumentami na stronach Cisco Systems, dotyczącymi bezpieczeństwa sieci bezprzewodowych. Krzysztof Lembas Kierownik Zespołu Konsultantów Naszą misją jest pomoc w efektywnym rozwoju Waszych organizacji www.SOLIDEX.com.pl © SOLIDEX, 2008 23 technologie Fiber to the Office – Fiber to the Desk W dzisiejszych czasach najnowsze modele komunikacji oraz systematycznie rosnące wymagania, dotyczące szybkości transmisji danych, wymagają perspektywistycznie zorientowanych koncepcji rozwiązań sieciowych. Trendy jakie zauważamy we współczesnym świecie, wskazują coraz częściej na światłowód jako na medium będące podstawą współczesnej sieci teletransmisyjnej. Kompetencje, które wychodzą takiemu kierunkowi rozwoju naprzeciw są prezentowane między innymi przez firmę Microsens, Fiber to the Office – Fiber to the Desk (Światłowodem do Biura – Światłowodem do Biurka). nostojących oraz urządzeń przystosowanych do montażu w kablowych kanałach naściennych lub podłogowych puszkach dystrybucyjnych. Schematyczny obraz rozwiązania przedstawiony został na rysunku nr 1. Opis koncepcji FTTO (Fiber to the Office – Światłowodem do Biura) Dzięki zastosowaniu światłowodów otrzymujemy możliwość transmisji danych na znacznie większe odległości w porównaniu do zwykłego połączenia przewodem miedzianym. Ta właściwość umożliwia scentralizowanie dystrybucji sieciowej w jednym punkcie. Taka koncepcja jest określana mianem „collapsed backbone”. Dzięki wykorzystaniu takiego rozwiązania nie ma już konieczności tworzenia wielu punktów dystrybucyjnych, a co za tym idzie - nie ma konieczności instalowania dodatkowego wyposażenia. W centrum dystrybucyjnym umieszczony jest konwerter, którego zadaniem jest konwertowanie portów miedzianych na porty światłowodowe. Można zatem wykorzystać aktywne urządzenia wyposażone w porty miedziane. Światłowody podłączone do media konwertera - w przypadku Fiber to the Wszystkie urządzenia końcowe mogą być podłączone do sieci poprzez standardowy kabel miedziany. Urządzenia Rys.1 Fiber to the Office Office dołączone są bezpośrednio do switchy dostępowych, które znajdują się w niewielkiej odległości od urządzeń końcowych. Przełączniki, konwertujące każdy port centralnego przełącznika na cztery porty dostępowe w zależności od wybranego rozwiązania, mogą występować w postaci urządzeń wol- Warto wspomnieć, że wszystkie przełączniki są urządzeniami bezgłośnymi, to znaczy nie posiadają żadnych ruchomych, mechanicznych elementów systemu chłodzenia. Po zamontowaniu takich urządzeń użytkownik posiada dostęp jedynie do gniazd końcowych w postaci RJ45. Wieloportowe konwertery mediów – mają postać kompaktowych urządzeń Ethernet lub Fast Ethernet o dużej gęstości portów. Możliwe jest zabudowanie 24 par portów (skrętka + światłowód) w urządzeniu o wysokości 1U. Przy Gigabit Ethernet w urządzeniu o wysokości 3U można zrealizować konwersję do 18 portów. Oprócz wysokiego zagęszczenia portów, systemy konwersji wyposażone są w redundantne zasilanie, funkcję autocrossing oraz zarządzanie SNMP/web based. Maksymalny zasięg transmisji światłowodowej w trybie full duplex dla włókien wielomodowych to: 2 km dla Fast Ethernet oraz 275/550 m dla Gigabit Ethernet. Przy włóknach jednomodowych zasięg dla obydwu protokołów wynosi 15/30/80/125 km w zależności od wersji interfejsu optycznego. Przy zastosowaniu systemu modularnego istnieje możliwość konwersji różnych protokołów w jednym chassis. Urządzenia końcowe – switche wolnostojące występują w wersji FE oraz GbE INTEGRATOR REVIEW (iI/2008) 24 technologie dowania, a co za tym idzie poszerzania struktury sieciowej bez konieczności instalowania dodatkowego okablowania światłowodowego. Rys.2 Power over Ethernet IEEE 802.3af i mogą być montowane w kanałach instalacyjnych lub podpodłogowych. Są to technologicznie zaawansowane przełączniki warstwy drugiej z zaimplementowanymi mechanizmami nadawania priorytetów z warstwy trze- Warto wspomnieć, że wszystkie przełączniki są urządzeniami bezgłośnymi, to znaczy nie posiadają żadnych ruchomych, mechanicznych elementów systemu chłodzenia. Po zamontowaniu takich urządzeń użytkownik posiada dostęp jedynie do gniazd końcowych w postaci RJ45. Dodatkowo oferowane jest oprogramowanie Device Manager, umożliwiające oprogramowanie do identyfikacji adresów MAC, które uniemożliwia dostęp do centralnych zasobów nieuprawnionym użytkownikom. W przypadku koncepcji Fiber to the Desk sposób realizacji jest bardzo podobny do tego, z jakim spotykamy się w modelu Fiber to the Office. Jedyna różnica polega na tym, iż w rozwiązaniu FTTD urządzenia końcowe są podłączone do switchy dostępowych za pomocą patchcordów światłowodowych. ciej, CoS dla aplikacji VoIP oraz z obsługą sieci VLAN zgodnie z IEEE 802.1pq. Switche wspierają również zasilanie urządzeń końcowych poprzez kabel miedziany PoE (Power over Ethernet), zgodnie ze standardem IEEE 802.3af. Oprócz interfejsu światłowodowego Fast Ethernet posiadają, w zależności od wersji, 4 lub 6 portów RJ45. Zasięg transmisji poszczególnych protokołów jest analogiczny jak w przypadku konwerterów wieloportowych i modularnych. W wersji miniaturowej 45x45 mm do montażu w kanałach kablowych i podpodłogowych przełączniki można wyposażyć w uplink światłowodowy Gigabit Ethernet. Ma on postać portu optycznego zabudowanego na stałe lub modularnego, jako transceiver SFP. Przełączniki dzięki downlinkowi miedzianemu posiadają możliwość kaska- zakłóceń, izolacja galwaniczna, •możliwość transmisji na znacznie większe odległości niż w przypadku kabla miedzianego, •beznarzędziowy montaż snap-in urządzeń instalacyjnych, •kompatybilność urządzeń instalacyjnych z systemem Mosaic m.in., Legrand, Ackermann, •integracja z telefonią IP, •efektywna administracja. Opis koncepcji FTTD (Fiber to the Desk) W przypadku koncepcji Fiber to the Desk sposób realizacji jest bardzo podobny do tego, z jakim spotykamy się w modelu Fiber to the Office. Jedyna różnica polega na tym, iż w rozwiązaniu FTTD urządzenia końcowe są podłączone do switchy dostępowych za pomocą patchcordów światłowodowych. W związku z tym konieczne jest, aby wszystkie urządzenia końcowe zostały wyposażone w porty światłowodowe, a same przełączniki dostępowe różnią się od tych wykorzystanych w koncepcji FTTO tym, że nie posiadają portów miedzianych RJ45. Osobną pozycją w rodzinie produktów firmy MICROSENS jest Network Management Platform Software. Dzięki wykorzystaniu tego oprogramowania otrzymujemy możliwość: •konfiguracji, zarządzania oraz administracji urządzeniami, •graficznego podglądu urządzeń, •graficznej wizualizacji sieci, •graficznego uwidocznienia alarmów i uszkodzeń urządzeń, •integracji z urządzeniami innych producentów poprzez SNMP. Podstawowe zalety rozwiązań FTTO: •pionowe i poziome okablowanie światłowodowe budynku, •elastyczność i skalowalność sieci, •bezpieczeństwo transmisji, brak Rys.3 Fiber to the Desk © SOLIDEX, 2008 25 technologie Taki model rozwiązania wymusza zastosowanie dodatkowych konwerterów w przypadku konieczności podłączenia do sieci urządzeń, które nie posiadają możliwości rozbudowy o dodatkowy port optyczny. Podsumowanie Zarówno w koncepcji Fiber to the Office jak również Fiber to the Desk, otrzymujemy możliwość transmisji na znacznie większe odległości niż w przypadku klasycznych sieci komputerowych, opartych o klasyczne okablowanie miedziane. Dzięki takiej własności obie technologie pozwalają na rezygnację z węzłów sieciowych tworzonych na każdym piętrze. Znaczącą różnicą pomiędzy koncepcją FTTO, a koncepcją FTTD jest sposób podłączania urządzeń końcowych do sieci. W przypadku FTTO jest to zwykły kabel miedziany, zaś w przypadku modelu FTTD jest to patchcord światłowodowy. Taka sytuacja eliminuje możliwość zastosowania zasilania urządzeń końcowych PoE (Power over Ethernet), ale tylko w przypadku koncepcji Fiber to the Desk. Warto zauważyć, iż przy rozwiązaniach FTTO każdy kilkuportowy przełącznik (lub karta światłowodowa dla FTTD) może zostać podłączony do konwertera mediów, w centralnym punkcie dystrybucyjnym, pojedynczym światłowodem, co jest możliwe dzięki transmisji WDM. Więcej informacji o rozwiązaniach Fiber to the Office i Fiber to the Desk na stronie producenta: http://www.microsens.com/ . Maciej Rudnik Inżynier Konsultant Rys.4 Fiber to the Office Rys. 5 Fiber to the Desk INTEGRATOR REVIEW (iI/2008) 26 technologie TANDBERG VCS - rewolucja w komunikacji wideo Systemy komunikacji wideo zyskują coraz większą popularność. Wraz z rozwojem sieci komputerowych oraz wzrostem jakości usług oferowanych przez operatorów, możliwe stało się wykorzystanie komunikacji wideo nie tylko w środowisku sieci LAN, ale również w sieciach rozległych. W chwili obecnej świat usług multimedialnych w sieciach IP znajduje się w przełomowym momencie, w którym użytkownicy prócz standardowej transmisji audio/wideo dostrzegają nowe typy usług, których zaimplementowanie wcześniej okazywało się zbyt kosztowne lub stopień komplikacji wynikający z integracji różnych standardów stanowił zaporę do pokonania. Rozwój nowoczesnych metod komunikacji Usługi wideokonferencyjne realizowane były do niedawna w oparciu o dwa różne modele. Użytkownicy korzystali z rozwiązań przeznaczonych dla użytku domowego, często darmowych lub z systemów korporacyjnych opartych o zamknięte standardy. Wraz z rozwojem i wzrastającą świadomością użytkowników producenci podjęli próbę integrowania różnych środowisk komunikacyjnych, chociażby za pomocą otwartego protokołu H.323, który stał się standardem dla systemów wideokonferencyjnych. W chwili obecnej można przyjąć założenie, że większość terminali wideo znajdujących się na rynku, wspiera w 100% standard H.323. Kolejnym bodźcem dla producentów do rozwoju systemów komunikacyjnych było wymaganie użytkowników, którzy dążyli do integracji wszystkich narzędzi komunikacyjnych. Dostrzeżono pewną niedogodność, wynikającą z użytkowania wielu różnych komunikatorów, terminali, protokołów. Nadszedł czas, aby pewne rozwiązania uprościć, wprowadzając mechanizmy, pozwalające na bezproblemową komunikację. Tym mechanizmem stał się protokół SIP. stał w oparciu o pewne założenia, które umożliwiają jego szerokie zastosowanie w świecie multimediów. Protokół ten jest bardzo otwarty na implementacje nowych usług oraz funkcjonalności, co czyni go w chwili obecnej najdynamiczniej rozwijającym się standardem w świecie komunikacji audio/wideo. Tendencja, od której nie ma obecnie odwrotu w świecie wideo, to coraz większy udział protokołu SIP, przy malejącym udziale protokołu H.323. Charakteryzując protokół SIP, wyjaśnić należy, jak wygląda nawiązywanie połączeń w zależności od użytego modelu. •Bezpośrednie połączenie dwóch terminali •Połączenie za pomocą SIP proxy •Połączenie za pomocą SIP redirect (nie omawiane w tym artykule) W przypadku połączeń bezpośrednich, tak jak w przypadku protokołu H.323, terminal inicjujący połączenie, musi znać adres IP drugiego terminala w sieci, w przeciwnym wypadku nie ma możliwości nawiązania połączenia. Metoda ta jest najszybsza, polegająca na bezpośrednim wysłaniu komunikatu INVITE do „drugiej strony”. Model ten ma jedną zaletę – jest prosty i szybki, SIP Czym właściwie jest protokół SIP ? SIP jest protokołem sygnalizacyjnym takim jak np. H.323, jednak stworzony zo- © SOLIDEX, 2008 27 technologie SIP IP Network SIP Proxy INVITE INVITE SIP Signaling 100 Trying Zaznaczyć należy, że proxy nie uczestniczy bezpośrednio w rozmowie, uczestniczy jedynie w nawiązywaniu połączenia pomiędzy terminalami (SETUP). 100 Trying 180 Ringing 180 Ringing 200 OK 200 OK ACK Media Model ten przedstawia poniższy schemat: ACK RTP Stream RTP Stream RTCP Stream Rys.1 Połączenie za pomocą proxy natomiast mało elastyczny. Utrzymywanie pełnej bazy numerów IP innych urządzeń może być dla użytkowników bardzo uciążliwe. Niedogodności te można zniwelować, wykorzystując do zestawiania połączeń SIP proxy server. Urządzenie to pośredniczy w procesie zestawienia połączenia, jest więc logicznym odpowiednikiem gatekeepera w sieci opartej o H.323. Wada wynikająca z użycia tego modelu to zwiększona liczba komunikatów niezbędnych do zestawienia połączenia oraz niebezpieczeństwo związane z awarią SIP proxy (pojedynczy punkt awarii). Dla modelu, w którym w sieci obecny jest komponent SIP Proxy, schemat nawiązania połączenia realizowany jest w następujący sposób: •Terminal inicjujący wysyła komunikat INVITE do serwera SIP proxy. •Serwer proxy wysyła zapytanie do terminala docelowego (INVITE). •Terminal docelowy odpowiada pozytywnie do proxy servera. •Proxy server przekazuje odpowiedź do terminala inicjującego. •Terminal inicjujący wysyła komunikat ACK do serwera proxy. •Serwer Proxy wysyła komunikat do terminala końcowego. •Fizyczne zestawienie połączenia (RTP). Kolejnym bardzo istotnym aspektem jest łatwość monitoringu i rozwiązywania problemów w protokole SIP. Protokół ten w swojej składni bazuje na HTTP, wszystkie komunikaty przekazywane są w trybie tekstowym, co ułatwia analizowanie wszelkich problemów. zarządza strefą, w skład której wchodzą terminale, gatewaye oraz inne urządzenia infrastruktury H.323. • Border Controler Dedykowane urządzenie zaprojektowane przez firmę TANDBERG, pozwalające w łatwy sposób nawiązać komunikację w sieci, w której znajdują się urządzenia bezpieczeństwa sieciowego (np. firewall). • MCU TANDBERG VCS Pozwala na zestawianie połączeń konferencyjnych, czyli takich, w których biorą udział więcej niż dwa terminale. Systemy wideo firmy TANDBERG oparte były do niedawna głównie o protokół H.323, a co za tym idzie - o rozwiązania Wraz z rosnącą popularnością standardu SIP, firma TANDBERG wprowadziła możliwość obsługi tego protokołu Wraz z rosnącą popularnością standardu SIP, firma TANDBERG wprowadziła możliwość obsługi tego protokołu bezpośrednio dla terminali wideo. sprzętowe pełniące funkcje zdefiniowane przez ten standard. Główne urządzenia używane w środowisku H.323 (wideo) to: • Terminale H.323 Urządzenie komunikacyjne znajdujące się po stronie użytkownika (np. wideoterminale z serii Edge95/85/75MXP). bezpośrednio dla terminali wideo. Dodatkowo nowe rozwiązania komunikacyjne, takie jak np. system MOVI - pozwalający komunikować się użytkownikom mobilnym, wyposażonym w dostęp do Internetu, notebooka oraz kamerkę internetową - również działają w oparciu o protokół SIP. Firma TANDBERG opracowała urządzenie, pozwalające w prosty sposób połąUser A • Gateway Urządzenia pozwalające na połączenie z innymi typami sieci. Najczęściej spotykane gatewaye w systemach wideokonferencyjncyh to: IP-ISDN, IP-3G. • Gatekeeper Urządzenie opcjonalne w systemie H.323, które świadczy usługi kontroli dostępu, kontroli pasma, rozwiązywania planu numeracyjnego. Gatekeeper User B SIP IP Network INVITE 100 Trying SIP Signaling User B 180 Ringing 200 OK ACK Media User A RTP Stream RTP Stream RTCP Stream Rys.2 Połączenie punkt - punkt INTEGRATOR REVIEW (iI/2008) 28 technologie Rosnąca popularność protokołu SIP oraz coraz większe wymagania klientów odnośnie funkcjonalności systemów wideo pozwalają przypuszczać, że protokół ten stanie się niebawem standardem dla aplikacji multimedialnych. Rys.3 Tandberg Gatekeeper czyć dwa światy H.323 oraz SIP. TANDBERG VCS jest dedykowaną platformą, która potrafi pełnić jednocześnie funkcję gatekeepera H.323 jak SIP Proxy. W zależności od wymagań terminale wideo mogą być jednocześnie zarejestrowane poprzez protokół SIP lub H.323. gatekeeper z dodaną możliwością obsługi protokołu SIP. TANDBERG VCS - Expressway Application: Urządzenie z punktu widzenia terminali H.323 zachowuje się jak typowy border controller. Dodana jednak została lem), jak i w sieci zewnętrznej. Zalecane jest uruchomienie tej usługi wewnątrz sieci korporacyjnej. Z punktu widzenia kompatybilności platforma VCS jest w pełni zgodna z używanymi do tej pory systemami H.323 (gatekeepery oraz border controllery). Architektura systemu opartego o VCS System oparty o TANDBERG VCS powinien zawierać następujące elementy: •VCS – Control Application •VCS – Expressway Application Wdrożenie systemu VCS zakłada instalację dwóch urządzeń. Jedno z nich znajduje się wewnątrz sieci LAN organizacji, natomiast kolejne znajduje się w publicznej sieci, za firewallem. W tym przypadku urządzenia pełnią następujące funkcje: TANDBERG VCS – Controll Aplication: Urządzenie pełni jednocześnie funkcję H.323 gatekeepera oraz SIP proxy. W skrócie można przyjąć, że VCS – Controll Aplication zainstalowany wewnątrz sieci LAN organizacji, dla urządzeń H.323 widziany jest jako zwykły Rys.4 Tandberg MCU możliwość bezpiecznej komunikacji za pomocą protokołu SIP. Zaawansowane możliwości Wspierane są następujące standardy: TANDBERG VCS dostarcza następujących funkcjonalności: •H.323: ITU Standard H.460.18 & 19 and Assent •SIP: IETF Standard STUN Relay & Discovery •Kontrola protokołu SIP/H.323 w jednym urządzeniu – Control Application, •Expressway – bezpieczeństwo połączeń, •FindMe. TANDBERG – FindMe: System można wyposażyć w funkcję FindMe, która zostaje wdrożona zarówno wewnątrz sieci LAN (przed firewal- Controll Application Funkcjonalność Control umożliwia wewnętrzną kontrolę i administrację sie- © SOLIDEX, 2008 29 technologie •aplikacja funkcjonuje w ramach istniejącej infrastruktury sieciowej, włączając gatekeeper and border controller, zapewniającego ochronę inwestycji klienta. cią wideo dla wszystkich stacji końcowych SIP i H.323. Korzystanie z serwera (VCS) z zastosowaną funkcjonalnością Control, pozwala na współpracę protokołów SIP i H.323, rejestrację stacji końcowych wraz z MCU, kontrolę przepustowości, jak również współpracę IPv6 z IPv4. TANDBERG VCS – Controll Aplication FindMe dostarcza prostego interfejsu użytkownika i pozwala korzystającym z niego osobom, wybrać do pięciu rożnych urządzeń, które wybierane są podczas wykonywania połączenia. Użytkownik może także ustalić pięć dodatkowych urządzeń, które będą Rosnąca popularność protokołu SIP oraz coraz większe wymagania klientów odnośnie funkcjonalności systemów wideo pozwalają przypuszczać, że protokół ten stanie się niebawem standardem dla aplikacji multimedialnych. Firma TANDBERG dostrzega te możliwości i już teraz wprowadza obsługę tego protokołu do coraz większej ilości swoich produktów. Wraz z innymi systemami, takimi jak np. Content Server, Movi, MCU – możliwe staje się zbudowanie systemu, który działa niezależnie od użytego protokołu, sieci oraz miejsca pobytu lub dostępności danego użytkownika. Wszystkie te udogodnienia pozwalają przypuszczać, że niebawem komunikacja wideo stanie się dostępna dla coraz większej grupy odbiorców. TANDBERG VCS – Expressway INTERNET Rys. 5 Przykład wdrożenia VCS Expressway Funkcjonalność ta pozwala na łatwe i bezpieczne przekraczanie zapór sieciowych, zarówno dla terminali H.323, jak i SIP. Rozwiązanie to jest zgodne ze standardami ITU oraz IETF. FindMe FindMe umożliwia użytkownikom sprawowanie kontroli, kiedy i jak nawiązywany jest z nimi kontakt. Dzięki FindMe można dotrzeć do rozmówcy pod jednym i tym samym numerem, zamiast wymagać od innych, aby każdy łączył się osobno z urządzeniem komunikacyjnym. odbierać połączenie w razie braku odpowiedzi albo kiedy podstawowe urządzenie jest zajęte. Tomasz Cieśliński Inżynier Konsultant Kluczowe korzyści: •możliwości FindMe wynoszą branżę wideokonferencji na wyższy poziom personalizacji i jakości i interakcji, •czynią łączność wideo bardziej swobodną poprzez uniezależnienie protokołu od końcowego użytkownika, •wiodące rozwiązanie w zakresie komunikacji wideo pod względem możliwości współpracy pomiędzy SIP a H.323, •funkcjonalność wspiera wyraźną ścieżkę migracji do SIP i urzeczywistnia korzyści płynące z połączenia SIP i H.323, INTEGRATOR REVIEW (iI/2008) 30 rozwiązania Provider-1 wielodomenowy system zarządzania bezpieczeństwem Do systemów zabezpieczeń środowiska teleinformatycznego przykładana jest szczególna waga. Pełnią one rolę ochrony często kluczowych zasobów. Osoby odpowiedzialne za zabezpieczenie tych zasobów dobierają starannie wdrażane systemy. Najczęściej pod uwagę brane jest bogactwo funkcjonalności czy dokładność w analizowaniu i wykrywaniu różnego rodzaju prób ataków. Nie mniej ważnym elementem jest sposób zarządzania systemem zabezpieczeń, co więcej - często właśnie moduł zarządzania, bardzo skomplikowanymi przecież elementami zabezpieczeń, stanowi o prawdziwej wartości systemu. Od lat niezrównaną opinią cieszą się systemy zabezpieczeń firmy Check Point, a ich wysoka pozycja na rynku osiągnięta została w dużej mierze dzięki staranności w budowaniu systemów zarządzania. Provider-1 to rozszerzenie sztandarowego systemu zarządzania Check Point - SmartCenter o możliwość kontroli i zarządzania wieloma grupami polityk bezpieczeństwa, bazami obiektów i użytkowników w wielu, często niezależnych od siebie, instytucjach. Czym jest zatem Provider-1? W tytule niniejszego artykułu Provider-1 został nazwany wielo-domenowym systemem zarządzania. Spróbujmy zatem zdefiniować domenę zarządzania, tak aby później móc określić funkcje systemu wielodomenowego. Domenę zarządzania możemy określić jako niezależny zbiór reguł polityk bezpieczeństwa, posiadający własną bazę obiektów, własną bazę użytkowników oraz własne pliki logów. W skład domeny zarządzania wchodzą obiekty, reprezentujące poszczególne elementy zabezpieczeń, takie jak: firewalle, systemy pracujące w trybie wysokiej dostępności (tzw. klastry high - availability), systemy umożliwiające zdalny dostęp do zasobów instytucji itp. Zazwyczaj firmy, począwszy od małych aż po duże przedsiębiorstwa, posiadają jedną domenę zarządzania, odwołującą się do jednego repozytorium obiektów czy użytkowników. Przykładem jednej domeny zarządzania jest domena stworzona w ramach systemu Check Point Smart Center. Posiada on jedną wspólną bazę obiektów, użytkowników oraz jedną bazę reguł polityki zabezpieczeń, umożliwiając zarządzanie wieloma urządzeniami, wymuszającymi tą politykę, np. firewalle, bramy VPN. Może jednak zajść potrzeba objęcia kilku domen zarządzania jednym systemem nadrzędnym, udostępniającym jedną bazę wspólnych obiektów i narzucającym na podległe domeny odpowiednich reguł zabezpieczeń. Taka sytuacja może mieć miejsce, kiedy jedna firma składa się z kilku spółek, posiadających własną infrastrukturę zabezpieczeń. Wówczas istnieje potrzeba wdrożenia sytemu, wymuszającego odgórnie odpowiednie reguły bezpieczeństwa, jednocześnie pozostawiając spółkom możliwość samodzielnego tworzenia domen zarządzania i administracji tą spółką. Innym przykładem może być operator lub właściciel centra danych (data center), świadczący usługi zarządzania bezpieczeństwem (ang. managed security services). W ramach jednego systemu, będącego w posiadaniu operatora, należy wydzielić kilka systemów zarządzania, z których każdy będzie odpowiedzialny za zarządzanie zasobami osobnego klienta. Każdy z systemów musi mieć zapewnioną odpowiednią poufność i integralność. Jednocześnie operator musi posiadać kontrolę nad tymi systemami i może narzucać na nie odpowiednie polityki bezpieczeństwa. Takim właśnie systemem jest Provider-1, umożliwiający budowanie skalowanego, wielodomenowego systemu zarządzania. Architektura systemu Aby lepiej zrozumieć system Provider-1, przyjrzyjmy się jego architekturze. Podstawowa trój-warstwowa architektura © SOLIDEX, 2008 31 rozwiązania systemów Check Point złożona z punktów wymuszeń (enforcement points), serwera zarządzania oraz graficznego interfejsu użytkownika GUI została również przeniesiona do systemu Provider-1. Dzięki takiej budowie możliwe jest szybkie i skuteczne tworzenie polityk zabezpieczeń oraz ich dystrybucja do odpowiednich punktów realizujących funkcję wymuszenia tych polityk. Provider-1 jest systemem przeznaczo- zarządzania - ta nazwa będzie dalej stosowana, aby nawiązać do nomenklatury Check Point), zawierającymi bazę obiektów, użytkowników i polityki zabezpieczeń. CMA zarządzają punktami wymuszeń polityki (np. firewallami), należącymi do danego Klienta. Poprzez CMA tworzone są również polityki dla elementów zabezpieczeń danego Klienta. Provider-1 jest systemem przeznaczonym do zarządzania wieloma rozproszonymi punktami wymuszeń instalowanymi w sieciach, które mogą należeć do różnych klientów, różnych firm czy różnych oddziałów. tego specjalny system (Customer Log Module). CMA jest odpowiednikiem serwera zarządzającego SmartCenter w standardowym modelu architektury systemów zabezpieczeń Check Point, ale w przeciwieństwie do SmartCenter, które jest kompletnym, niezależnym systemem, CMA jest elementem przechowywanym przez Multi-Domain Server (MDS), czyli kolejny element architektury Provider-1. Pomimo tego, że każdy MDS może pomieścić wiele osobnych CMA (do pięciuset), są one kompletnie odizolowane od siebie, gwarantując Klientom całkowitą poufność. Występują dwa typy serwerów MDS: nym do zarządzania wieloma rozproszonymi punktami wymuszeń instalowanymi w sieciach, które mogą należeć do różnych klientów, różnych firm czy różnych oddziałów. Jednym z elementów systemu Provider-1 są Customer Management Add-ons (CMA), będące wirtualnymi serwerami zarządzania poszczególnych Klientów (Klient oznacza tutaj jednostkę reprezentującą osobną domenę CMA pełni następujące funkcje: •przechowuje i zarządza bazą obiektów i polityką bezpieczeństwa danego Klienta, •kontroluje i monitoruje – w czasie rzeczywistym – stan punktów, wymuszających politykę, należących do danego Klienta, •zbiera logi z modułów danego Klienta, o ile logowanie nie jest realizowane przez wyznaczony do •MDS Container – przechowuje i zarządza modułami CMA, •MDS Manager – odpowiada za komunikację z administratorami środowiska Provider-1 poprzez MultiDomain GUI (MDG). Elementy te mogą być fizycznie instalowane na jednej wspólnej maszynie lub w konfiguracji rozproszonej na kil- Rys.1 Architektura systemu Provider-1 INTEGRATOR REVIEW (iI/2008) 32 rozwiązania ku. Istotne jest to, że w każdej instalacji Provider-1 konieczny jest co najmniej jeden MDS Manager oraz jeden MDS Container. Konsola zarządzająca Multi-Domain GUI (MDG), jest odpowiednikiem standardowego interfejsu zarządzania Check Point Management GUI, pozwalającego na zarządzanie poszczególnymi domenami w ramach systemów Smart Center. W porównaniu do standardowego GUI, MDG posiada dodatkowe narzędzia, służące do obsługi do zarządzania punktami wymuszeń, będą dostępne w CMA zapasowym. MDS Manager jest punktem komunikacji Provider-1 z administratorami, może on zatem stać się również punktem awarii, dlatego istnieje możliwość konfiguracji pary MDS Managerów, synchronizujących między sobą dane, tak aby w razie awarii podstawowej jednostki, administratorzy mogli łączyć się z zapasowym Managerem. Dodatkowo istnieje możliwość synchronizacji elementów MDS Container. Warto tutaj zauważyć, że polityki globalne mają ogromne znaczenie, dlatego tylko administratorzy o szczególnych uprawnieniach powinni mieć możliwość ich edycji. poszczególnych CMA (dodawanie, edycja) oraz do tworzenia globalnych polityk bezpieczeństwa (Global Policy), których reguły są wymuszane w wielu indywidualnych politykach. Opcjonalnym elementem systemu jest Multi-Domain Log Module (MLM), będący serwerem przeznaczonym do kolekcjonowania logów. MLM powinien być stosowany w sytuacjach, kiedy środowisko Provider-1 jest złożone z wielu CMA lub, gdy konieczne jest intensywne logowanie. Dzięki temu można odciążyć serwery MDS, pozostawiając w ich zadaniach tylko krytyczne działania administracyjne. Administracja Jak już zostało to wspomniane, administracja systemem Provider-1 odbywa się poprzez interfejs MDG. Uprawnieni administratorzy mogą z tego poziomu dodawać lub modyfikować Klientów, CMA, przeglądać i dodawać polityki, które są przechowywane w serwerze MDS. Tworzone polityki mogą być dwojakiego rodzaju - polityki lokalne tworzone i dostępne w ramach jednego CMA lub polityki globalne obowiązujące w wielu CMA, wchodzących w skład całego środowiska Provider-1. Takie rozwiązanie eliminuje konieczność tworzenia tych samych reguł osobno dla różnych Klientów. Może przecież zdarzyć się sytuacja, kiedy chcemy, aby takie same reguły wchodziły w skład polityk bezpieczeństwa kilku Klientów - polityki globalne rozwiązują ten problem. Warto tutaj zauważyć, że polityki globalne mają ogromne znaczenie, dlatego tylko administratorzy o szczególnych uprawnieniach powinni mieć możliwość ich edycji. Między innymi z tego względu w systemie Provider-1 zostały zdefiniowane następujące typy administratorów: •Provider-1 Superuser – posiada uprawnienia do zarządzania całym środowiskiem Provider-1 (edycja MDS, zarządzanie innymi administratorami itd.). •Customer Superuser – zarządza konfiguracjami wszystkich Klientów przy użyciu MDG oraz SmartConsole. Zarządza administratorami o niższych uprawnieniach (Customer Manager oraz none administrator). •Global Manager – zarządza konfiguracjami poszczególnych Klientów, ma dostęp do konfiguracji polityk globalnych, może dodawać administratorów typu Customer Manager, none administrator. •Customer Manager – zarządza konfiguracjami poszczególnych Klientów, może dodawać administratorów typu none dla swoich Klientów. Nie może edytować globalnych polityk czy obiektów. •None administrator – administrato- W celu zapewnienia wysokiej dostępności w system Provider-1 zostały wbudowane mechanizmy niezawodnościowe na poziomie CMA oraz serwerów MDS. Dla każdego Klienta istnieje możliwość konfiguracji dwóch CMA, pracujących w trybie wysokiej dostępności (jedno aktywne, drugie zapasowe). Tak skonfigurowane CMA, regularnie lub poprzez wywołanie zdarzenia, synchronizują pomiędzy sobą ich bazy danych, zapewniając, że w razie awarii podstawowego CMA wszystkie dane potrzebne Rys.2 Interfejs Multi Domain GUI © SOLIDEX, 2008 33 rozwiązania rzy spoza systemu Provider-1, mogą zarządzać systemami zabezpieczeń Klientów poprzez standardowe narzędzia SmartConsole. Nie mają dostępu do MDG. Z interfejsu MDG uprawnieni administratorzy mogą uruchomić narzędzie Global SmartDashboard, służące do tworzenia polityk globalnych lub mogą również uruchomić – służące do zarządzania systemami każdego Klienta – konsole SmartConsole, w skład której wchodzą znane narzędzia, takie jak: SmartDashboard, SmartView Tracker, SmartUpdate, SmartView Monitor, Eventia Reporter, SmartLSM. Konsole SmartConsole do zarządzania zasobami poszczególnych Klientów mogą być również uruchamiane poza środowiskiem Provider-1. Podsumowanie Provider-1 nie jest rozwiązaniem kierowanym do każdego odbiorcy. Nie wynika to jednak z tego, że jest to rozwiązanie o niskiej jakości, lub z tego, że inni producenci dostarczają lepsze odpowiedniki. Nie. Należy podkreślić, że przedstawiony tutaj system jest rozwiązaniem przodującym pod względem oferowanych funkcjonalności i możliwości wdrożenia. Mała ilość wdrożeń wynika z tego, że jest to narzędzie przeznaczone do specjalizowanych zastosowań w projektach o dużej skali. Biorąc jednak pod uwagę ciągle zwiększające się zapotrzebowanie firm na usługi zarządzania czy usługi zabezpieczeń, oraz fakt, że coraz więcej operatorów i centrów danych będzie w stanie świadczyć takie usługi, z optymizmem możemy spojrzeć na przyszłość wartościowego produktu jakim jest Provider-1 firmy Check Point. Więcej informacji na ten temat na stronie: www.checkpoint.com Witold Mazanek Inżynier Konsultant Budujemy sprawną i bezpieczną infrastrukturę teleinformatyczną www.SOLIDEX.com.pl INTEGRATOR REVIEW (iI/2008) 34 rozwiązania Dostarczanie i rozliczanie treści dla odbiorców mobilnych W tym wydaniu „Integratora” przedstawiam kilka aspektów funkcjonowania „treści”, czy też „kontentu”, zarówno obecnie jak i w perspektywie historycznej. Celem tego tekstu jest ukazanie, jaką społeczną rolę pełni „treść-kontent” i jakie to ma implikacje na sferę technologiczną i biznesową. Na początek należy stwierdzić, że z braku lepszego sformułowania używać będziemy słowa „kontent” (ang. content) na oznaczenie treści przekazu. był obarczony wieloma wadami. Należały do nich między innymi podatność na zakłócenia i nietrwałość – każdy Wynalezienie pisma w różnych postaciach wprowadziło tutaj pewien porządek, gdyż raz zapisane informacje pozostawały niezmienione przez dłuższy czas, tym bardziej że często nośnikiem informacji był po prostu kamień. Jednak i on miał poważne wady, z których warto szczególnie wymienić trudności transportowe – nie nadawał się on do tego, by zapisaną na nim informację przekazywać na duże odległości. Warto zadać sobie kilka pytań, które ukierunkują nasze dalsze rozważania. Przede wszystkim po co dostarczamy treść, po co dokonujemy przekazu treści? Po drugie jakiego rodzaju treści dostarczamy? I w końcu jaką rolę pełni przekazywany kontent (informacja)? W dalszej części tego artykułu spróbujmy sobie na te pytania w przybliżeniu odpowiedzieć. Pomoże nam to zastanowić się nad biznesowym znaczeniem przekazu informacyjnego. Sięgnijmy zatem w odległą przeszłość, aby spojrzeć na to, jak ludzie wymieniali się informacją i jaką rolę ta informacja pełniła w historii ludzkości. Ludzkość od wieków dążyła do utrwalania myśli i przekazywania jej innym ludziom, nie tylko drogą przekazu ustnego. We wspólnotach pierwotnych przekaz ustny odgrywał największą rolę, ale – jak doskonale zdajemy sobie sprawę – zywali opowieść z ust do ust powodował, że coraz mniej miała ona wspólnego z oryginalną postacią. bowiem, kto dokonywał ustnego przekazu, mógł go dowolnie modyfikować, a rosnący łańcuch tych, którzy przeka- Wynalezienie lekkich nośników informacji, takich jak skóry zwierzęce i w końcu papier, spowodowało prawdziwy przełom w przekazie informacji. Niektórzy twierdzą, że sformułowanie „pełnia czasów”, które odnajdujemy w listach św. Pawła, odnosi się do tej rzeczywistości, w której chrześcijańska Ewangelia mogła być przekazywana w łatwy i tani sposób właśnie dzięki temu, że istniał tani i lekki nośnik informacji. Wiemy dobrze, że Chrześcijaństwo było jednym z największych przełomów w dotychczasowej historii ludzkości. © SOLIDEX, 2008 35 rozwiązania Idąc dalej w historii napotykamy na moment, kiedy oprócz taniego i lekkiego nośnika usprawnieniu ulega proces reprodukcji przekazu. Dotychczasowy, żmudny proces przepisywania i iluminacji tekstu został zastąpiony przez wynalazek druku przypisywany Gutenbergowi. Co ciekawe, to również doprowadziło do kolejnego przełomu związanego z Chrześcijaństwem. Drukowane książki, a w szczególności Biblia, trafiły „pod strzechy”, dając możliwość zapoznania się z tekstem tym, których dotychczas nie było stać na przepisywane ręcznie księgi. To również oznaczało, że teksty te trafiły do ludzi, którzy w pewnym stopniu oderwani byli od tradycji interpretacji tekstu, co dało początek Protestantyzmowi. Zwiększanie się popularności druku doprowadziło do powstania nośników szybkiej informacji – prasy codziennej. Nastąpiła kolejna rewolucja w dziedzinie przekazu informacji. W końcu media elektroniczne – radio, telewizja, satelity, telefony komórkowe, Internet – sprawiły, że współczesny człowiek może uczestniczyć w przekazie informacji, praktycznie w dowolnym miejscu na kuli ziemskiej – może przyprawiać o zawrót głowy. Jednak zauważmy, że w całej historii przekazu informacji, media (przyjmijmy, że tak nazwiemy tutaj sam przekaz) oraz ich treść funkcjonują w kontekście rozwoju cywilizacyjnego. Niezależnie od czasu, ale w ramach przezeń wyznaczanych pełnią role: wymiany myśli (informacji), edukacji, rozrywki oraz artystyczną. Co więcej dystrybucja treści (informacji, kontentu) oraz jej forma zależne są od postępu technologicznego, są odpowiedzią na zapotrzebowanie cywilizacyjne oraz – i tu zwróćmy uwagę – kształtują cywilizację. W tym należy również uwzględnić zachowania społeczne. Wystarczy spojrzeć na to, w jaki sposób zmienia się ludzkość, między innymi, w związku ze zwiększeniem szybkości i powszechności wymiany informacji. Oczywiście nie należy traktować wymiany informacji jako jedynego motoru postępu, ale w ramach tego postępu jest ona jednym z najistotniejszych składników zmian. Po co wymieniamy się informacją? Jest to jedna z naszych podstawowych potrzeb. Potrzebujemy wymieniać się informacją, dokonywać ekspresji własnej osobowości, potrzebujemy tej wymiany w celach poznawczych. Jesteśmy „producentami” i zarazem „konsumentami” informacji. Dzięki temu tworzymy „wspólnoty”, znajdujemy akceptację dla samych siebie. Kontent jest produktem, który z jednej strony jest odpowiedzią na zapotrzebowanie rynku - jak to produkt - a z Jako produkt kontent wymaga sprzyjającego środowiska. Oczywiście w pierwszym rzędzie liczy się jakość samego kontentu. To jest naturalnie pierwszy czynnik. Istotną rolę odgrywa także relacja pomiędzy kontentem a jego ceną. Mówimy tutaj o mikropłatnościach, choć może aktualnie przedrostek „mikro” jest jeszcze stosowany trochę na wyrost. Faktem jest, że nowy dzwonek do telefonu kosztuje mniej niż dobra kawa w przyjemnym lokalu. Kontent, jako produkt, sam potrzebuje informacji, budowania świadomości – innymi słowy promocji. Potencjalni odbiorcy muszą się dowiedzieć, że istnieje, że jest na sprzedaż i w jaki sposób po niego sięgnąć. Z tym z kolei wiąże się łatwość i wygoda dokonywania zakupów. Jednym z efektów szybkiej W końcu media elektroniczne – radio, telewizja, satelity, telefony komórkowe, Internet – sprawiły, że współczesny człowiek może uczestniczyć w przekazie informacji, praktycznie w dowolnym miejscu na kuli ziemskiej – w sposób, który może przyprawiać o zawrót głowy. drugiej w dużym stopniu ten rynek stymuluje i wpływa na niego w pośredni sposób. Sama treść i rola jaką pełni w dzisiejszym społeczeństwie sprawia, że zachodzą zmiany w sposobie korzystania z kontentu. Dzisiaj, na przykład, kontent powinien być dostępny niezależnie od czasu i miejsca, a za tę swobodę wyboru gotowi jesteśmy płacić. Wróćmy zatem do tematu artykułu i przyjrzyjmy się temu, co sprzedaje się obecnie na urządzenia mobilne. Są to: tapety i loga, dzwonki (polifoniczne i mp3), motywy, krótkie filmy wideo itp. Zauważmy, że charakter tego kontentu jest uzależniony od ograniczeń medium - urządzenia mobilnego. Pamiętajmy, że większość tych urządzeń posiada dość słabe parametry jakości dźwięku, mały ekran, ograniczenie mocy obliczeniowej oraz źródło zasilania, które nie pozwala na zbyt długą, ciągłą eksploatację. wymiany informacji jest to, że ogólnie przyspieszyliśmy i nie będziemy tracić czasu na pozyskanie dobra, którego kanał sprzedaży sprawia nam problemy. Bardzo istotnym składnikiem sprzyjającego środowiska sprzedaży kontentu jest stymulacja społeczna – efekt naszej społecznej natury, wspólnoty zainteresowań, a czasem poczucia humoru. Budowanie świadomości kontentu – marketing – najprościej prowadzony może być w miejscach sprzedaży abonamentu na medium. Jednak tak prowadzona promocja dociera głównie do potencjalnie nowych abonentów. Dla tych, którzy abonament już posiadają, konieczne są zwykłe kampanie reklamowe za pośrednictwem różnych mediów – obserwujemy to na co dzień. Jednak bardzo szczególnym typem promocji jest promocja typu peer-topeer. Działa ona w społecznościach INTEGRATOR REVIEW (iI/2008) 36 rozwiązania i bazuje na wspólnocie zaufania, zainteresowań, przekonań itp. Czasem jest to wspólne poczucie humoru. Ciekawą własnością promocji peer-to-peer jest to, że w wielu wypadkach ma efekt wykładniczy. Gdy patrzymy na sposób sprzedaży kontentu (i nie tylko), możemy wyróżnić dwa skrajne podejścia. Pierwsze nazwijmy „automatem z napojami”. Charakteryzuje się ono tym, że całość oferty prezentowana jest w jasny i czytelny sposób, umożliwiający ogarnięcie jej jednym rzutem oka. Jest to typowy wygląd automatów z napojami albo batonikami, w którym wszystkie produkty, w obfitości eksponowane są za szybą i dostępne „na wyciągnięcie ręki”. Nasze działanie sprowadza się do szybkiego wskazania interesującego nas produktu, dokonanie zapłaty i na- Kolejne rewolucje szykują nam się ze względu na urządzenia mobilne, z których korzystamy albo będziemy korzystać. Dobrym przykładem jest tutaj iPhone firmy Apple, który całkowicie zmienia sposób prezentacji i korzystania z urządzenia mobilnego w stosunku do tego, co znaliśmy do tej pory. tychmiastowe dostarczenie produktu. „Łomot”, który występuje, gdy nasza wybrana puszka napoju trafia do pojemnika, jest niejako potwierdzeniem dokonania zakupu. Inne podejście do sprzedaży związane jest z ekspozycją większej liczby produktów. Jest to doświadczenie „sklepowe”, w którym mamy do czynienia z atrakcyjną prezentacją, możliwością wypróbowania dobra (kontentu), pewnym stopniem personalizacji oraz odsuniętą w czasie decyzją o zakupie. Może być tak, że do „sklepu” wracamy wielokrotnie upewniając się, że interesujący nas produkt jest taki, jak tego oczekujemy. Jeśli spojrzymy na to z punktu widzenia nowych kanałów sprzedaży, takich jak Internet i urządzenia mobilne to widzimy, że prezentacja internetowa (realizowana za pomocą komputera) daje większe możliwości prezentacyjne i bardziej „sklepowe” środowisko sprzedaży. Mamy do dyspozycji większy ekran, większe możliwości nawigacji i prezentacji. Z kolei urządzenia mobilne, poprzez narzucane ograniczenia, bardziej funkcjonują jak „automaty z napojami”. Niewielki ekran i mała klawiatura, a także dość długi czas przesyłania informacji sprawiają, że jedynym sprawnym modelem jest „point-and-click” - zakup dokonywany jest zwykle z pełną świadomością tego, co dany produkt sobą reprezentuje i odbiorca dobrze wie, czego oczekiwać. Po prostu sięga po „batonik”. Aby ten model zakupów funkcjonował, potrzebne jest coś, co nazywa się po angielsku „purchase experience”. Składają się na nie trzy elementy: forma, wygoda i techniczna łatwość. Pamiętajmy, że mówimy o „automacie z napojami”. Atrakcyjność i adekwatność formy jest tutaj oczywistym czynnikiem kształtującym „wrażenie”. Jednak o sukcesie będzie również decydować łatwość poruszania się po „sklepie”, docierania do interesującego nas kontentu, a także – i tu nie należy niedoceniać tego aspektu – techniczna łatwość zakupu. Interesującą koncepcją jest próba tworzenia w ramach interfejsu urządzeń mobilnych spersonalizowanej przestrzeni, komunikacji na zasadzie chatu (duża popularność tej formy porozumiewania się została już potwierdzona), dzielenia się z innymi własnymi zasobami (np. zdjęcia) oraz dokonywania zakupów. Coś takiego nosi nazwę „social media” i wkracza w nasze życie w coraz większym stopniu, być może w mniejszym stopniu na urządzeniach mobilnych, ale trend ten wydaje się nieuchronny. © SOLIDEX, 2008 37 rozwiązania Odnosząc się do społecznościowego wymiaru kontentu, można stwierdzić, że takie elementy, jak: mechanizmy tworzenia społeczności (blog, chat, przestrzeń autoprezentacji), reklama, kontent, personalizacja, mechanizmy mikropłatności (Pay-Per-View, Pay-PerUsage) stanowią sprzyjające środowisko generowania sprzedaży. Zauważmy, że możliwość interakcji zaciera granice pomiędzy producentem a odbiorcą. Ta sama osoba może funkcjonować obecnie zarówno jako odbiorca i producent. Ponadto funkcjonuje silne i szybkie sprzężenie – oddolna demokracja kształtująca ofertę kontentową. Funkcjonuje wreszcie coś, co nazywane jest „peer-production”, o którym mówimy, gdy społeczności producentów-konsumentów („prosumers”) tworzą wspólnie dobra lub usługi. Jest to swego rodzaju rewolucja, która otrzymała swoją szumną nazwę Web 2.0. Jest to rewolucja w filozofii korzystania z mediów elektronicznych, która w krótkim czasie obejmie wiele sfer życia, głównie poprzez postępującą ich konwergencję. Kolejne rewolucje szykują nam się ze względu na urządzenia mobilne, z których korzystamy albo będziemy korzystać. Dobrym przykładem jest tutaj iPhone firmy Apple, który całkowicie zmienia sposób prezentacji i korzystania z urządzenia mobilnego w stosunku do tego, co znaliśmy do tej pory. SOLIDEX SA jest firmą technologiczną, która od długiego czasu dostarcza rozwiązania, wspierające dostarczanie i rozliczanie treści, także dla użytkowników mobilnych. Są to specjalizowane rozwiązania, które od strony operatorskiej umożliwiają świadczenie usług dostępowych oraz kontentowych z pełnym wsparciem dla procesu kontroli pasma, kontroli dostępu do treści oraz rozliczania za wykorzystane zaso- by lub kontent. Rozwiązania te oparte są o ofertę partnerów technologicznych, takich jak Cisco czy Sun Microsystems, ale także zbudowane są w oparciu o własne oprogramowanie firmy SOLIDEX. Poprzez dostarczanie takich rozwiązań SOLIDEX potwierdza ścieżkę innowacyjności i technologicznego rozwoju, zorientowanego na potrzeby biznesowe klientów. Grzegorz Cempla Dyrektor ds. Rozwoju i Nowych Produktów Interesuje Cię następująca tematyka ? • Nowoczesne systemy zintegrowanej komunikacji jako element budowy przewagi konkurencyjnej • Integracja bez tajemnic • Bezpieczeństwo w Centrach Przetwarzania Danych Zapisz się na bezpłatne seminarium! www.SOLIDEX.com.pl INTEGRATOR REVIEW (iI/2008) 38 Program SOLIDEX Autoryzowane szkolenia Cisco Systems (także w nowym Centrum Kompetencyjno-Szkoleniowym) ICND 1 Interconnecting Cisco Networks Devices Part 1 ICND 2 Interconnecting Cisco Networks Devices Part 2 BSCI BCMSN ISCW Building Scalable Cisco Internetwork Building Cisco Multilayer Switched Networks Implementing Secure Converged Wide Area Networks BGP Configuring BGP on Cisco routers ONT Optimizing Converged Cisco Networks SND Securing Cisco Network Devices SNPA Securing Networks with PIX and ASA SNRS Securing Networks with Cisco Routers and Switches CSVPN Cisco Secure Virtual Private Network CIPT P1 v6.0 Implementing Cisco Unified Call Manager Part 1 CIPT P2 v6.0 Implementing Cisco Unified Call Manager Part 2 CWLMS QoS MPLS Implementing CiscoWorks LMS Implementing Cisco Quality of Service Implementing Cisco MPLS Infolinia: 0800 49 55 82 Więcej informacji można uzyskać w serwisie www.SOLIDEX.com.pl, www.cks.SOLIDEX.com.pl oraz via e-mail: [email protected] Szkolenia prowadzone są w centrali oraz warszawskim oddziale SOLIDEX: Kraków Centrala SOLIDEX, ul. Lea 124; Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX, Złote Tarasy - Lumen, ul. Złota 59 Autoryzowane szkolenia Cisco Systems w ofercie SOLIDEX Naszą misją jest pomóc w efektywnym rozwoju Państwa organizacji, poprzez przygotowanie najwyższej klasy specjalistów rozumiejących i sprawnie poruszających się po świecie zaawansowanych technologii teleinformatycznych. Od 1998 roku prowadzimy autoryzowane szkolenia Cisco Systems. Zajęcia odbywają się w nowoczesnych laboratoriach technicznych w: • Centrum Kompetencyjno-Szkoleniowym w Warszawie • Centrali Firmy w Krakowie Wszelkie informacje dotyczące warunków uczestnictwa uzyskają Państwo kontaktując się poprzez e-mail [email protected] lub bezpłatny telefon naszej infolinii 0-800 49 55 82 (lub 0-12 638 05 00) w godzinach od 9:00 do 17:00. SOLIDEX SA Centrala: ul. J. Lea 124, 30-133 Kraków, tel.: +48 (12) 638 04 80, fax: +48 (12) 638 04 70, www.SOLIDEX.com.pl SOLIDEX SA Oddział Warszawa Centrum Kompetencyjno-Szkoleniowe: Złote Tarasy – Lumen (IV poziom), ul. Złota 59, 00-120 Warszawa, tel.: +48 (22) 222 34 00, fax: +48 (22) 222 34 05, www.cks.SOLIDEX.com.pl