Integrator Nr III/2013 (124)

Komentarze

Transkrypt

Integrator Nr III/2013 (124)
Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Wiedza
porządek w bezpieczeństwie
Nr III/2013 (124)
W numerze
między innymi:
WYDARZENIA:
 Cykl warsztatów Cisco ISE
w SOLIDEX
NOWOŚCI:
czytaj na str. 20
 Nowe platformy firmy
Infoblox dla rozwiązań
z rodziny „Network
Automation”
TECHNOLOGIE:
 Websense Triton Enterprise
- kompletny system
bezpieczeństwa dla
przedsiębiorstw
ROZWIĄZANIA:
 Współczesne ataki DDoS
oraz metody zapobiegania
ich skutkom
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning Specialized Partner
J-Partner Elite
Check Point Platinum Partner
Check Point Collaborative
Certified Support Provider
Elite Partner
Gold Partner
Websense Platinum Partner
Numer: III/2013 (124)
Szanowni Państwo,
Ponad dwie dekady praktycznego doświadczenia SOLIDnych EXpertów w zakresie projektowania, wdrażania i utrzymywania
systemów sieciowych dowolnej skali i złożoności to istna kopalnia wiedzy. Wiedzą tą chcemy się dzielić z naszymi Klientami,
Partnerami i Czytelnikami.
Kolejny numer naszego biuletynu firmowego INTEGRATOR prezentuje nowości ze świata komunikacji (iRobot Ava 500 –
„Z kamerą wśród biurowców”) – str. 6, a także rozwiązań zarządzania „Nowe platformy firmy Infoblox” na stronie 9.
Szczególnie zachęcamy do przeczytania kolejnego artykułu z wiosennej akcji „Porządki w Sieci 2013 ”. Porusza on ważną
tematykę bezpieczeństwa współczesnych sieci informatycznych „Wiedza – porządek w bezpieczeństwie” na stronie 20). Inne
artykuły dotyczące bezpieczeństwa przewijają się zarówno w dziale Technologie („Websense Triton Enterprise - kompletny
system bezpieczeństwa dla przedsiębiorstw” na stronie 12) oraz w dziale Rozwiązania „Współczesne ataki DDoS oraz metody
zapobiegania ich skutkom” na stronie 38.
Pozostałe artykuły to opis technologii i rozwiązań firm VMware („VMware Horizon View – środowisko wirtualnych desktopów”
na stronie 16), Infoblox („Efektywniej, taniej, łatwiej … INFOBLOX” na stronie 26), Cisco („Cisco Unified Computing System
UCS - jak to działa ?” na stronie 32 , „Catalyst 3850 – nowa seria przełączników dostępowych Cisco” na stronie 42).
INTEGRATOR jako niezależny kwartalnik od połowy lat dziewięćdziesiątych redagowany jest przez Zespół SOLIDEX, trafia
do grupy kilku tysięcy profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa
zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem
www.integrator.SOLIDEX.com.pl.
Życzymy przyjemnej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
4
4
5
Cykl warsztatów Cisco ISE w SOLIDEX
SOLIDEX modernizuje infrastrukturę sieciową Komendy Głównej Policji
Współpraca SOLIDEXu z uczelniami publicznymi
SOLIDEX podpisał umowy na realizację szkoleń autoryzowanych Cisco
dla Ministerstwa Obrony Narodowej
SOLIDEX odnowił partnerstwo Microsoft Gold
Odnowienie specjalizacji Cisco ATP ISE przez SOLIDEX
5
5
NOWOŚCI
6
9
iRobot Ava 500„Z kamerą wśród biurowców”
Nowe platformy firmy Infoblox dla rozwiązań z rodziny „Network Automation”
TECHNOLOGIE
12
16
Websense Triton Enterprise – kompletny system bezpieczeństwa dla przedsiębiorstw
VMware Horizon View – środowisko wirtualnych desktopów
ROZWIĄZANIA
20
26
32
38
42
Wiedza – porządek w bezpieczeństwie
Efektywniej, taniej, łatwiej … INFOBLOX
Cisco Unified Computing System UCS – jak to działa?
Współczesne ataki DDoS oraz metody zapobiegania ich skutkom.
Catalyst 3850 – nowa seria przełączników dostępowych Cisco
Biuletyn Informacyjny SOLIDEX®
WYDARZENIA
Cykl warsztatów Cisco ISE w SOLIDEX
Na przełomie maja i czerwca SOLIDEX przeprowadził cykl praktycznych warsztatów kontroli dostępu do sieci
z wykorzystaniem Cisco Identity Services Engine (ISE).
Dwudniowe zajęcia prowadzone przez
inżynierów SOLIDEX obejmowały
zarówno część teoretyczną (szczegółowa charakterystyka Cisco ISE,
omówienie licencjonowania, modele
wdrożeniowe) oraz część praktyczną.
W ramach warsztatów uczestnicy mieli
możliwość praktycznego przetestowania rozwiązania dzięki serii ćwiczeń
obejmujących m.in. podstawową
konfigurację ISE (IP, DNS, NTP, Certyfikaty), pracę z lokalnymi bazami
użytkowników i urządzeń końcowych,
integrację ISE z Active Directory, konfigurację środowiska przewodowego
do współpracy z ISE, profilowanie
urządzeń końcowych, definiowanie
polityki dostępowej o różne rodzaje
autentykacji, uruchomienie i zarządzanie dostępem gościnnym oraz
konfigurację usług Network Admission
Control (NAC).
War sz t aty był y prowadzone
w Centrach Kompetencyjno – Szkoleniowch SOL IDE X w K rakowie,
Warszawie i Gdańsku.
SOLIDEX modernizuje infrastrukturę sieciową Komendy Głównej Policji
SOLIDE X przedstawił najkorzystniejszą ofertę w przetargu publicznym
ogłoszonym przez Komendę Główną
Policji. W ramach umowy zawartej
w lipcu 2013r. z KGP, SOL IDE X
zapewni wsparcie developerskie
w zakresie modernizacji infrastruktury
sieciowej KSI.
Przedmiotem umowy jest przygotowanie koncepcji oraz założeń
do konfiguracji urządzeń sieciowych
w celu zapewnienia współpracy
systemu KSI zainstalowanego w dwóch
centrach przetwarzania danych.
Współpraca SOLIDEXu z uczelniami publicznymi
Rozbudowa Uc zelnianej Sie c i
Komputerowej AGH w Krakowie
SOLIDEX w lipcu zawarł umowę
z A kademią Gór nic zo -Hutnic z ą
w Krakowie w sprawie dostawy
urządzeń sieciowych do Uczelnianej
Sieci Komputerowej dla Centrum
Informatyki AGH.
4
Centrum Nowoczesnych Technologii
Informatycznych na Uniwersytecie
Ekonomicznym w Katowicach
W sierpniu SOLIDEX podpisał umowę
z Uniwersytetem Ekonomicznym
w Katowicach na dostawę sprzętu
sieciowego dla potrzeb Centrum
Nowoczesnych Technologii Informatycznych. Dostawa ma zapewnić
zbudowanie szkieletu sieci i umożliwić
dostęp do sieci bezprzewodowej
w budynku CNTI.
Integrujemy przyszłość®
Dost awa urządzeń siec iowych
na Uniwer sytec ie Ślą skim
w Katowicach
W ramach umowy zawartej z Uniwersytetem Śląskim w K atowicach
w sierpniu, SOLIDE X dostarc zy
produkty sieciowe firm Cisco i Juniper.
Firewalle SRX1400, router 3945E/K9
oraz switch modułowy WS-C6503-E
i switche WS-C3850-48T-S zastąpią
urządzenia dotychczas eksploatowane.
Numer: III/2013 (124)
SOLIDEX podpisał umowy na realizację szkoleń autoryzowanych Cisco dla
Ministerstwa Obrony Narodowej
S OL IDE X ja k o A u t or yz owa ny
Partner szkoleniowy Cisco Systems
(Cisco Learning Specialized Partner)
podpisał umowy z Ministerstwem
Obrony Narodowej na przeprowadzenie szkoleń i egzaminów autoryzowanych przez firmę Cisco Systems.
Realizacja dotyczyć będzie między
innymi szkoleń przygotowujących
do podstawowej certyfikacji Cisco
Certified Network Associate (CCNA)
wraz z egzaminami.
SOLIDEX przeprowadzi także szereg na si najbar d z iej do ś wiadc zeni
szkoleń omawiających technologię i certyfikowani instruktorzy Cisco
C isc o Unif ied C ommunic t at ios – wszyscy posiadają tytuł Cisco
(CVOICE, CIPT 1, CIPT 2), jak również Certified Internetwork Expert (CCIE),
kursów dotyczących bezpieczeństwa mają za sobą ponad 3000 godzin
w sieci (SECURE, FIREWALL, VPN, na sali szkoleniowej a także wieloIPS). Tematem szkoleń będą także letnie doświadczenie jako projekzagadnienia Quality of Service i BGP tanci i konsultanci.
(QOS, BGP).
Szkolenia realizowane b ę dą
w naszych ośrodkach w Krakowie
i Warszawie a prowadzącymi będą
SOLIDEX odnowił partnerstwo Microsoft Gold
W lipc u SOL IDE X odnowił
par tner stwo z fir mą Mic rosof t
na poziomie Gold w zakresie technologii Communications.
Tytuł t en jest potwierdzeniem
najwyższych kompetencji inżynierów
SOLIDEX oraz gwarancją dla klienta,
jakości oferowanych usług.
Technologia Communications oferuje
klientom zintegrowane rozwiązanie
s ł u ż ą c e wspó ł pr ac y i komuni kacji biznesowej. Dostępnych jest
kilka kanałów komunikacyjnych –
wideo, głos, chat, a także integracja
ze środowiskiem pracy grupowej –
Exchange, SharePoint. Całość znana
jest pod nazwą Microsoft Lync i jest
dostępna zarówno jako systemy
wewnątrz sieci (on-premise), jak
i z chmury.
Odnowienie specjalizacji Cisco ATP ISE przez SOLIDEX
W czerwcu SOLIDEX odnowił specjalizację Cisco Authorized Technology Provider Identity Services Engine (ATP ISE).
Wią zało się to ze spe ł nieniem
wymagań w zakresie sprzętowym
oraz z potwierdzeniem kwalifikacji
SOLIDnych EXpertów w zakresie
sprzedaży oraz instalacji produktów,
a także obsługi Klienta.
Uzyskany status Identity Services
Engine to dowód nieustannej dbałości
fir my SOL IDE X o podnoszenie
kompetencji swoich pracowników,
co przekłada się na coraz wyższą jakość
oferowanych usług.
C isco Identity Ser vices Engine
to moduł do scentralizowanej obsługi
reguł na potrzeby rozwiązania Cisco
TrustSec®, który pozwala firmom
efektywnie definiować reguły bezpieczeństwa oraz zarządzać nimi. Więcej
Biuletyn Informacyjny SOLIDEX®
informacji na stronie producenta:
h t t p : // www . c is c o . c o m /e n / U S /
products/ps11640/index.html
oraz w numerze I/2012 Integratora,
dostępnym na stronie:
http://www.integrator.solidex.com.pl/
integrator/wydania-2012/nr-i-2012-118.
5
NOWOŚCI
iRobot Ava 500
„Z kamerą wśród biurowców”
Jeżeli kiedykolwiek ktoś zadawał sobie pytanie, co może powstać z połączenia
zaawansowanej robotyki i profesjonalnego systemu wideokonferencyjnego,
to po przeczytaniu poniższego tekstu, będzie mógł sobie na nie odpowiedzieć
– przynajmniej częściowo. Firma iRobot – znana w Polsce głównie z małych,
domowych robotów użytkowych – we współpracy z Cisco stworzyła robota
do mobilnej wideokonferencji.
Firma iRobot nie jest szczególnie
popularna w naszym kraju ze względu
Rys. 1.
6
na fakt, że rynek robotyki użytkowej
tak naprawdę dopiero raczkuje i minie
Ruchomy wysięgnik pozwala na dostosowanie wysokości monitora
do wzrostu czy postawy rozmówcy
Integrujemy przyszłość®
jeszcze sporo czasu zanim się rozwinie.
Mimo to ma jednak coraz więcej
do zaoferowania, czego najlepszym
przykładem jest właśnie Ava 500.
Nie jest to jedyna taka konstrukcja
na świecie, proponuje jednak znacznie
więcej niż konkurencyjne rozwiązania i możemy śmiało stwierdzić,
że wyznacza nowe standardy.
Założeniem projektu jest możliwość
odbycia wideokonferencji w jakości
HD, w dowolnym miejscu w biurze, nie
ograniczając się do jednego pomieszczenia, a także zapewnienie uczestnikom wideokonferencji większej
swobody przemieszczania się. Dotyczy
to zarówno konwersacji planowanych,
jak i już rozpoczętych. Dodatkowo
Ava 5 0 0 z wię k sz a moż liwo ś c i
interakcji rozmówców między sobą.
Robot składa się z jeżdżącego korpusu,
ze zintegrowanym systemem czujników
i napędów oraz zestawu Cisco Telepresence umieszczonego na szczycie
Numer: III/2013 (124)
Rys. 2.
Maszyna w czasie spoczynku jest ładowana poprzez specjalną stację dokującą
tegoż korpusu, na ruchomym wysię- miejsce nie wymaga ciągłej ingerencji wybierając najkrótszą, ale i najbezgniku, co pozwala na dostosowanie użytkownika, chyba że sam zainte- piec zniejszą dla maszyny drogę
wysokości monitora do wzrostu czy resowany zadecyduje inaczej. Nie do celu. Oczywiście robot podczas
postawy rozmówcy (rysunek 1).
musimy też znać rozkładu pomieszczeń ruchu „uczy się” rozkładu pomieszczeń
Maszyna w czasie spoczynku jest „odwiedzanej” lokalizacji, wystarczy, samodzielnie i aktualizuje na bieżąco
ładowana poprzez specjalną stację że znamy nazwę miejsca spotkania. posiadaną bazę danych. Ponadto
dokującą, umieszczoną w odpowiednio Wyszukujemy je wówczas na mapie jeżeli podczas poruszania się, wykryje
przygotowanym do tego miejscu we wspomnianej aplikacji, a najbliższy na swojej drodze np. grupę rozma(rysunek 2).
dos t ę pny r obot s am udaje się wiających osób, zaimplementowany
Całości dopełnia zgrabne
algor ytm natychmiast
„opakowanie” i design,
przeliczy trasę tak, aby
który może się podobać
ludzi ominąć, nie przeszka(rysunek 3).
dz ając w konwer s ac ji.
Jak sugeruje producent,
Ponadto dzięki wbudodzięki robotowi będziemy
wanemu w oprogramow stanie odbyć wirtualną
wanie harmonogramowi
wizytę np. w fabryce lub
zadań i systemowi
biu r z e p o t e n c ja lne go
rezer wac ji możemy
par tnera biznesowego,
odpowiednio wcześniej
klienta, czy po prostu zrobić
zaprogramować robota,
wizytację w odległ ym
aby udał się w ustalonym
oddziale własnej firmy.
terminie do odpowiedG ł ówn ą c e c h ą , k t ór a
niego pomieszc zenia
odróżnia Ava 500 od innych Rys. 3. Ava 500 jest nie tylko funkcjonalny, ale posiada również na umówione spotkanie.
konstrukcji tego typu, jest
C o wię cej system jest
ciekawy design
autorski, autonomiczny
t ak skonf ig ur owany,
system nawigacji oraz
ż e p o k a ż dym z a ko ń przyjazne i proste w obsłudze oprogra- we wskazane miejsce. Najbliższy czonym spotkaniu robot sam skieruje
mowanie, zaprezentowane w wersji dost ępny, poniewa ż producent się do stacji dokującej w celu doładona popularnego iPad’a (rysunek 4).
zakłada zainstalowanie kilku takich wania akumulatorów.
Pozwala ono na pe ł ną kontrolę maszyn w jednej lokalizacji. Zaprogra- Wiadomo na pewno, że komuninad robotem, dzięki czemu jego mowane i regularnie aktualizowane kacja z Ava 500 będzie odbywała
przemieszczanie się w poż ądane mapy pozwalają udać się na miejsce się przy pomocy technologii WiFi,
Biuletyn Informacyjny SOLIDEX®
7
NOWOŚCI
Rys 4.
Główną cechą, która odróżnia Ava 500 od innych konstrukcji, jest autorski, autonomiczny system nawigacji
oraz przyjazne i proste w obsłudze oprogramowanie
poprzez wbudowany Access Point
serii Aironet 1600, a za część audio
wizualną odpowiedzialny będzie
zestaw Cisco Telepresence serii EX.
Całość będzie kompatybilna z innymi
rozwiązaniami infrastruktury Cisco
Unified Communications i pozwoli
na odpowiednio zabezpiec zoną
komunikację z siecią klienta, jak
na segment Enterprise przystało.
Nie wiadomo natomiast jeszcze nic
o podstawowych parametrach samego
robota, chociażby takich jak czas pracy
na bateriach czy prędkości przemieszczania. Można założyć, że producenci
nie chcą podawać konkretnych danych,
dopóki nie ukaże się gotowy, komercyjny produkt, zaznaczmy bowiem,
że nadal trwają testy.
Z apewne prezentowane rozwią zanie nie będzie pozbawione wad,
rozważmy chociażby powierzchnię,
po której będzie mógł poruszać się
robot – na jego trasie nie może być
żadnych schodów ani progów. Być
może wdrożenie Ava 500 będzie
wymagało „dopasowania” do niego
infrastruktury budynku, jednak nie
powinno to stanowić problemu
w kontekście coraz popularniejszych
inteligentnych budynków.
8
Pomimo, że Robot do wideokonferencji
nie jest sprzętem typowo sieciowym,
to jest na tyle nowatorskim, ciekawym
i nowoc ze snym r oz wią z aniem,
że postanowiliśmy je zaprezentować.
Urządzenie ma trafić do sprzedaży
na początku 2014 roku, w Polsce
zapewne w późniejszym terminie – nie
są niestety znane żadne dodatkowe
szczegóły. Więcej informacji na temat
Ava 500, wraz z filmem prezentującym jego możliwości, znaleźć można
na anglojęzycznych stronach Cisco
oraz iRobot.
Opracowano na podstawie oficjalnych
materiałów producentów.
T.K.
Inżynier SOLIDEX
Integrujemy przyszłość®
Numer: III/2013 (124)
Nowe platformy firmy Infoblox
dla rozwiązań z rodziny „Network
Automation”
W związku z udostępnieniem nowych funkcjonalności oraz rozwojem
technologicznym podzespołów sprzętowych, firma Infoblox wprowadziła
nowe platformy fizyczne. W ofercie dostępne są trzy nowe modele serii NT
(NT-1400, NT-2200, NT-4000) dedykowane dla rodziny produktów związanych
z automatyzacją zarządzania i monitoringu infrastruktury sieciowej.
Nowa seria NT została specjalnie
zaprojektowana, aby dostarczyć
wydajnych zasobów fizycznych dla
rozwiązań z rodziny „NET WORK
AU T OM AT ION ” m . in . Swit ch
Port Manager, Automation Change
Manager, NetMRI® czy Security
Device Controller. Dzięki dedykowanemu roz wią z aniu moż liwe
jest optymalne wykor z yst anie
sprzętu przez zainstalowane na nim
produkty. Dodatkowo dostępny jest
zunifikowany interfejs zarządzania,
co znacznie ułatwia procesy administracyjne i zmniejsza koszty oraz ilość
czasu potrzebną na przyswojenie
wiedzy na temat obsługi. Urządzenia
zostały zbudowane do świadczenia
konkretnych usług sieciowych powiązanych z monitoringiem i automatyzacją zadań sieciowych, są pozbawione
dodatkowych interfejsów fizycznych
do podłączania urządzeń peryferyjnych takich jak monitory, myszy,
klawiatury. Spełniają rygorystyczne
wymogi bezpieczeństwa stawiane
przez instytucje zarówno rządowe, jak
i sektor prywatny. Cała administracja
odbywa się poprzez graficzny interfejs
w postaci strony www lub poprzez
terminal podłączony bezpośrednio
do urządzenia portem konsolowym
albo pośrednio poprzez sieć, przy
wykorzystaniu protokołu ssh.
Rodzina NT została zróżnicowana
pod względem wydajności, aby
umożliwić elastyczne dopasowanie
produktu do środowiska sieciowego,
w którym ma on pracować. Poszczególne modele różnią się budową oraz
podzespołami, ale sposób administracji
Rys. 1.
c zy wykonywanie codziennych
zadań pozostają takie same. Obecnie
dostępne są trzy modele NT-1400,
N T-2 2 0 0, N T- 4 0 0 0, wsz yst k ie
przeznaczone do montażu w szafach
Rack 19’’oraz posiadające certyfikaty
bezpieczeństwa: FCC, CE, TUV, CB,
VCCI, C-Tick, KCC, CCC, NOM.
NT-1400
„ Najmniejs z y ” c z łonek r od z iny
stworzony został przede wszystkim
z myślą o małych środowiskach
sieciowych, ale przy implementacji rozwiązania rozproszonego dla
Network Automation NT-1400 Appliance
Biuletyn Informacyjny SOLIDEX®
9
NOWOŚCI
Rys. 2.
Panel frontowy NT-1400
Rys. 3.
Widok na tył NT-1400
większych sieci z wieloma lokalizacjami funkcjonuje jako „Collector”.
NT-1400 posiada port konsolowy
DB-9 (9600/8n1, Xon/Xoff), cztery
interfejsy sieciowe 10/100/1000
Base-T Ethernet oraz jeden interfejs
IPMI 10/100/1000 Base-T Ethernet,
przy czym por ty oznaczone jako
IPMI, LAN2 oraz HA nie są aktywne
i zostały zarezerwowane do przyszłego
wykorzystania, podobnie jak port USB
w standardzie 2.0/1.1. Dysk o pojemności 500 GB zamontowany jest z tyłu
urządzenia, co pozwala na jego łatwą
wymianę/usunięcie bez konieczności
demontażu obudowy. Platforma może
być wyposażona w jeden zasilacz AC
(moc na wyjściu 360W) lub DC z opcją
dołożenia drugiego. W przypadku
stosowania dwóch zasilaczy istnieje
możliwość wymiany jednego z nich
w trakcie pracy urządzenia. Rozmiary
urządzenia to: wysokość 44 mm (1U),
szerokość 441 mm, głębokość 437 mm.
Waga całkowita w zależności od ilości
zasilaczy wynosi 10.9 lub 12.7 kg.
Całość chłodzona jest trzema niezależnymi wiatrakami, które kierują
ciepłe powietrze na tył.
NT-2200
Rys. 4. Network Automation NT-2200 Appliance
Rys. 5.
Panel frontowy NT-2200
Rys. 6. Widok na tył NT-2200
10
Integrujemy przyszłość®
W przeciwieństwie do swojego mniejszego „brata”, NT-2 200 pozwala
na obsługę większych środowisk
sieciowych, może być także stosowany
jako centralny element w niedużych
środowiskach rozproszonych. Jeżeli
chodzi o interfejsy sieciowe są one
bliźniacze w stosunku do modelu
NT-1400, choć fizycznie rozmieszczone inaczej. NT-2200 posiada port
konsolowy DB-9 (9600/8n1, Xon/Xoff)
oraz dwa porty USB 2.0/1.1 nieaktywne, zarezerwowane do przyszłego
wykorzystania. Platforma wyposażona
jest w cztery dyski twarde skonfigurowane w R AID-10, zapewniające
1 TB dostępnego miejsca, umieszczone
w przedniej części urządzenia. W tym
modelu system chłodzenia składa się
z pięciu niezależnych modularnych
wiatraków zlokalizowanych
z tyłu urządzenia. NT-2200 domyślnie
wyposażony jest w dwa redundantne
zasilacze AC (moc wyjściowa 960W)
lub DC . Zarówno dyski, moduły
chłodzące, jak i zasilacze możemy
wymieniać w trakcie pracy urządzenia,
bez konieczności demontażu obudowy.
Numer: III/2013 (124)
Rys. 7.
Network Automation NT-4000 Appliance
Wymiary urządzenia: wysokość :
88 mm (2U), szerokość: 4 41 mm,
głębokość 540 mm. Waga ok. 18 kg.
zasilacze AC o mocy wyjściowej 750W
każdy. Zarówno wiatraki, dyski, jak
i zasilacze można wymienić w trakcie
pracy urządzenia. Wymiary fizyczne
NT-4000
wyglądają następująco: wysokość:
85.9 mm (2U), szerokość 445.4 mm,
N T- 4 0 0 0 t o najwię k sz y pr zed- głębokość 660.7 mm. Waga ok. 27.2 kg.
st awiciel rodziny przeznac zony
do obsługi dużych środowisk oraz Podsumowanie
jako centralny element w dużych
środowiskach rozproszonych. Jeżeli Zróżnicowanie urządzeń z serii NT
chodzi o dostępne porty platforma pozwala na bardziej elastyczne dopasota nie różni się od NT-2200. Posiada wanie rozwiązania do potrzeb i wymagań
8 dysków twardych skonfiguro - użytkownika, daje możliwość tworzenia
wanych w RAID-10 oferujących 1,2 TB rozproszonych architektur opartych
dostępnego miejsca. Chłodzenie reali- o różne modele oraz – co bardzo istotne
zowane jest za pomocą 4 niezależnych – umożliwia uniknięcie ponoszenia
wiatraków. Urządzenie wyposażono zbędnych kosztów tam, gdzie nie
fabryc znie w dwa redundantne jest to konieczne. Dzięki stworzeniu
fizycznych urządzeń projektowanych
do obsługi konkretnych funkcjonalności,
uzyskiwana jest wyższa wydajność,
stabilność oraz zminimalizowane jest
ryzyko występowania awarii.
Więcej informacji na temat zarówno
platform jak i rodziny produktów
„ Ne t wor k Aut omat ion ” mo ż na
uzyskać na stronie producent a:
http://www.infoblox.com/products/
network-automation.
Opracowano na podstawie oficjalnych
materiałów producenta.
P.K.
Inżynier SOLIDEX
Waszych organizacji
www.SOLIDEX.com.pl
Biuletyn Informacyjny SOLIDEX®
11
TECHNOLOGIE
Websense Triton Enterprise –
kompletny system bezpieczeństwa
dla przedsiębiorstw
W dzisiejszych czasach ochrona informacji w przedsiębiorstwach staje się
zadaniem coraz trudniejszym. Powodem tego jest coraz więcej kanałów,
które mogą służyć do wymiany informacji, a co za tym idzie, wzrost liczby
potencjalnych zagrożeń, których skutkiem mógłby być wyciek poufnych treści
do sfery publicznej. Aby się przed tym uchronić przedsiębiorstwa muszą zapewnić
bezpieczeństwo swoich danych na wszystkich możliwych płaszczyznach.
Do największych zagrożeń należą w pierwszej kolejności: poczta elektroniczna,
strony sieci www, a także wyciek i utrata danych. Aby zapewnić bezpieczeństwo
we wszystkich tych aspektach, przedsiębiorstwa zwykle muszą używać
różnego rodzaju narzędzi, oprogramowania, sprzętu, pochodzących od różnych
dostawców. Jednakże, mimo wszystkich ponoszonych nakładów, zapewnienie
kompleksowej ochrony informacji jest bardzo skomplikowane. Tym bardziej,
że koszty wzrastają z każdym nowo zakupionym produktem. Dlatego dokonując
wyboru systemu bezpieczeństwa dla firmy, należy zwracać uwagę nie tylko
na skuteczność, ale również na tak samo istotną kompleksowość rozwiązania.
Websense Triton Enterprise jest
wszechstronnym systemem bezpiec z e ń s t wa dla pr z e d si ę bior s t w,
k tór y potrafi zapewnić ochronę
treści w odpowiedzi na praktycznie
każde zagrożenie. Narzędzie, które
d z ia ł a w c z a sie r z e c z ywis t ym
gwarantuje użytkownikom:
• Ochronę danych, dzięki najlepszemu
przemysłowemu DLP (Data Loss
Prevention).
12
• Bezpieczne przeglądanie sieci Web,
włączając w to aplikacje, a także
portale społecznościowe.
• Bezpieczną pocztę elektroniczną –
całkowitą izolację poufnych danych
znajdujących się w wiadomości
od zewnętrznych zagrożeń.
Występujące obecnie zagrożenia dla
danych, a także sposoby ich wykradania zmienił y dotychc zasowe
podejście do obrony przed atakami.
Integrujemy przyszłość®
Samo filtrowanie ruchu na wejściu
nie jest wystarczające. Aby system
zapewniał jak najlepszą ochronę,
musi działać w czasie rzeczywistym
– nowy standard bezpieczeństwa
tzw. „point-of-click”.
Rozwiązanie Triton Enterprise jest
nie tylko nowoczesnym systemem
bezpieczeństwa dla wyrafinowanych
zagrożeń, ale także – dzięki ujednoliconemu rozwiązaniu – potrafi obniżyć
Numer: III/2013 (124)
Rys. 1.
Kompleksowość Websense Triton Enterprise
nakłady inwestycyjne oraz koszty
operacyjne. Sekretem sukcesu jest unifikacja wszystkich aspektów systemu:
• Ujednolicona analiza zagrożeń –
pozwala w pe ł ni wykorzystać
potencjał stron typu Facebook,
L inkedIn, Twitter oraz innych
webowych aplikacji bez obawy przed
atakami typu „Web-based”.
• Ujednolic one z ar z ądz anie –
Triton Console daje administratorowi
pełny wgląd w to, co dzieje się w sieci
Web, w poczcie elektronicznej, a także
z bezpieczeństwem danych. System
posiada 1100 wbudowanych reguł,
dzięki którym użytkownik może
tworzyć bardzo dokładne polityki
dotyczące poufnych danych.
• Ujednolicona platforma – pozwala
egzekwować ustalone polityki, bez
względu na to, w jaki sposób system
został wdrożony. Administrator
może zarządzać tym kto wysyła
dane, gdzie, jak a wszystko bez
względu na to, czy Triton Enterprise
został zainstalowany jako Appliance,
chmura czy w sposób hybrydowy.
Websense Triton Enteprise składa się
z trzech podstawowych modułów:
Data Security Suite, Web Security
Gateway A nywhere oraz Email
Security Gateway Anywhere.
Data Security Suite
Moduł ten odpowiedzialny jest
za zarządzanie ryzykiem utraty
danych, a także chroni dane przed
przypadkowym, niew ła ś c iwym
uż yciem. W skład tego moduł u
wchodzą trzy podstawowe narzędzia.
Każde jest licencjonowane osobno,
więc klient może na początku wybrać
tylko jedno z nich, a dopiero z czasem
dokupić następne.
Pierwszym narzędziem jest Data
Security Gateway. Jego zadaniem
jest zapobieganie przypadkowemu
lub celowemu przesyłaniu poufnych
danych przez sieć. W tym celu Data
Security Gateway monitoruje w czasie
rzeczywistym wszelkie kanały komuni-
Drugim narzędziem wchodzącym
w skład Data Security Suite jest
Data Discover. Jego zadaniem jest
odnajdywanie wrażliwych danych, bez
względu na to gdzie się one znajdują.
Jest to realizowane poprzez skanowanie sieci, serwerów pocztowych,
stacji roboczych, laptopów i innych.
Oprogramowanie potrafi przeprowadzić akcje naprawcze, np. szyfrowanie, usuwanie pliku, podmianę
Rozwiązanie Triton Enterprise jest nie tylko nowoczesnym systemem
bezpieczeństwa dla wyrafinowanych zagrożeń, ale także – dzięki
ujednoliconemu rozwiązaniu – potrafi obniżyć nakłady inwestycyjne
oraz koszty operacyjne. System Websense Triton Enterprise stanowi
kompleksowe i kompletne narzędzie, jakie może stać się podstawą
zapewnienia bezpieczeństwa w firmie.
kacyjne, takie jak strony Web, pocztę
elektroniczną, sesje F TP, a tak że
Ac tiveSync dla mobilnej poczty.
Oprogramowanie to zawiera ponad
50 rodzajów raportów, kreatorów
polityk bezpieczeństwa oraz szablonów
konfiguracji. Potrafi automatycznie,
w oparciu o polityki reagować
na naruszenia bezpieczeństwa poprzez
blokowanie, kwarantanny, szyfrowanie, a tak że wysyłanie powiadomień do użytkownika. Dokładna
identyfikacja poufnych danych jest
możliwa również w plikach graficznych
za pomocą OCR.
Biuletyn Informacyjny SOLIDEX®
pliku, a także tworzyć audyty i logi.
Działa efektywnie przy minimalnym
wpływie na serwery, prowadząc
skanowania podczas najmniejszego
obciążenia. Poufne dane są identyfikowane za pomocą technologii
Websense PreciseID.
Ostatnie narzędzie to Data Endpoint.
Kontroluje ono, w jaki sposób poufne
dane są używane. Poprzez monitorowanie w czasie rzeczywistym pozwala
na lepszą widoczność i kontrolę nad
tym, jak wrażliwe informacje mogą
migrować w sieci, kto ich używa,
w jaki sposób oraz gdzie są przesyłane.
13
TECHNOLOGIE
walczyć z zaawansowanymi atakami
typu malware, spam, spyware oraz
specjalnymi atakami skierowanymi.
Również wszystkie adresy URL zawarte
w wiadomościach są przetwarzane
i sprawdzane w izolowanym środoEmail Security Gateway
wisku pod kątem niebezpieczeństw
Anywhere
w momencie, kiedy użytkownik chce
Ten moduł jest odpowiedzialny odwiedzić dany adres. Wspierane jest
za ochronę przed wyciekiem danych również szyfrowanie wiadomości,
poprzez pocztę elektroniczną. Jest by utrudnić wyciek wrażliwych inforw pełni funkcjonalny również w hybry- macji w nich zawartych. Dodatkowo
dowym modelu wdrożenia. Dzięki użytkownik dostaje do dyspozycji
technologii Websense TruHybrid dostęp do archiwum wiadomości
oszczędzana jest przepustowość sieci w chmurze, a także analizę obrazów
w przedsiębiorstwie, poprzez usuwanie z załączników, by zapewnić zgodność
w chmurze spamu oraz innych zagrożeń z wybraną polityką.
z wiadomo ś c i pr z ychodz ąc ych .
Web Security Gateway
Z apewnia przy tym dost ępnoś ć Websense Advanced
Anywhere
usługi na poziomie 99,999% oraz Classification Engine
wykrywalność spamu na poziomie
Jest to wszechstronne narzędzie co najmniej 99%. Websense TruEmail D ok ł adno ś ć or a z sk u t e c z no ś ć
do ochrony użytkowników przed DLP oferuje możliwoś ć ochrony Websense Triton Enterprise zawdzięcza
nowoczesnymi zagrożeniami w sieciach przez kradzież ą i utrat ą danych przede wszystkim swojemu silnikowi
Web. Dzięki możliwości wdrożenia w kanałach SMTP. Posiada ponad k l a s y f i k u j ą c e m u – A d a n c e d
hybrydowego Websene TruHybrid 16 00 wbudowanych szablonów Classification Engine (ACE). To właśnie
chroni całą sieć, zarówno główną konfiguracji, aby uchronić klienta dzięki jego złożonemu systemowi
siedzibę, jak i oddziały, użytkowników przed wyciekiem poufnych infor- punktującemu program doskonale wie,
zdalnych oraz mobilnych. Technologia macji z jego przedsiębiorstwa poprzez z jakimi zagrożeniami ma do czynienia.
TruWeb DLP zapobiega utracie danych, pocztę elektroniczną. Analiza ryzyka ACE dostarcza w czasie rzeczywistym
zawiera unikalne funkcje, takie jak jest przeprowadzana z wykorzystaniem ocenę bezpieczeństwa w zakresie
geolokalizacja miejsca przeznaczenia rozwiązań Websense ThreatSeeker ochrony, wydajności oraz zgodności.
przesyłu danych, wykrywanie zaszy- oraz Websense ACE, by skutecznie System punktujący sprawdza dane
frowanych niebezpiecznych plików,
kradzieży danych, a także powolnych
wycieków informacji (tzw. „drip” DLP).
Wszystko działa w czasie rzeczywistym
w oparciu o oprogramowanie klasyfikujące zagrożenia – ACE (Advanced
Classification Engine) oraz Websense
ThreatSeeker Network do ochrony
przed zaawansowanym zagrożeniami typu malware i spam. Zaawansowany system zarządzania dostarcza
użytkownikowi informacji na temat
każdego incydentu w sieci: kto został
zaatakowany, jakie informacje, gdzie
dane miały zostać przesłane oraz jak
atak został przeprowadzony, wszystko
udokumentowane odpowiednią ilością
logów. Dodatkowo narzędzie to potrafi
filtrować dostęp do określonych typów
filmów na YouTube, a także umożliwia
korzystanie z serwisów typu Facebook
czy LinkedIn, ale tylko w określonych
celach (np. można ograniczyć korzystanie z gier lub przeszukiwanie
ofert pracy). Co więcej Websense
udost ępnia bezpośredni dost ęp
Rys. 2. Kryteria szacowania ryzyka w ACE
do Websense Security Labs, a także
Kieruje także działaniami w punktach
końc owych podejmowanymi,
by uniknąć utraty danych. Jego cechą
charakterystyczną jest to, że jest
pierwszym przemysłowym narzędziem tego typu, współpracującym
z systemem Mac OS X. Data Endpoint
automatycznie wymusza zastosowane
polityki w punktach końcowych,
może blokować ruch, kontrolować
i usuwać aplikacje, tworzyć audyty,
logi, powiadomienia. Odnajduje, klasyfikuje oraz tworzy akcje naprawcze dla
wrażliwych danych znajdujących się
u użytkownika. Wszystko to działa
skutecznie przy minimalnym obciążeniu dla stacji końcowych.
14
usługę CyberSecurity Intelligence
(CSI), dającą możliwość przesłania
podejrzanych plików w celu zbadania
ich pod kątem zagrożeń.
Integrujemy przyszłość®
Numer: III/2013 (124)
zagrożenie szac ując jego ocenę
na podstawie siedmiu kryteriów.
Pierwszym z nich jest Real-Time
Security Classification (RTSC). Skupia
się on na zagrożeniach związanych
ze stronami sieci Web. Do jego zadań
należy wykrywanie niebezpiecznych
dodatków do przeglądarek, złośliwych
kodów JavaScript, ActiveX, exploitów,
ataków cross-site scripts (XSS) oraz
zero-day, a także innych podejrzanych
zawartości stron.
Drugim kryterium jest Real-Time
C ont ent C las sif ic at ion ( R T C C ).
Prawdziwym wyzwaniem dla oceny
bezpieczeństwa są strony generowane
dynamicznie. Aby sprawdzić całą
stronę trzeba oddzielnie traktować
tekst, obrazy, linki, skrypty. Tym
właśnie zajmuje się RTCC.
Kolejnym narzędziem do oszacowania
bezpieczeństwa jest Real-Time Data
Classification (RTDC). Pozwala ono
określić, czy wychodzące dane nie
są poufne, czy samo ich przesłanie
nie jest wynikiem ataku lub próby
kradzieży. RTDC posiada rozległe
możliwości sprawdzania, czy dane
są wrażliwe. Potrafi za pomocą OCR
weryfikować, czy przesyłane obrazy
nie zawierają poufnych informacji
(np. zrzuty ekranu). Przesyłane pliki
tekstowe są sprawdzane pod kątem
zawierania haseł, a także zawartości
baz danych. Narzędzie to zapobiega
również powolnym wyciekom informacji (Drip DLP), a tak że potrafi
oszacować niebezpieczeństwo zaszyfrowanych plików.
Następne kryterium to Anti-Malware
Engines. Jest to zbiór narzędzi, które
znając zasady działania oprogramowania typu malware są w stanie
natychmiast wychwycić niebezpieczeństwo, nawet jeśli nie jest ono
jeszcze ogólnie znane. Potrafi również
przeglądać zawartość spakowanych
plików pod tym kątem. Posiada także
narzędzie do sprawdzania plików
w formacie PDF.
K olejny a spek t t o Reput at ion
Analysis. W tym przypadku badana
jest „reputacja” danego adresu URL/IP
na zasadzie charakterystyk, których
ACE rozróżnia ponad 20. Są to m.in.
natężenie ruchu, dane z serwerów DNS,
a także numer ASN.
Następnym kryterium jest klasyfikacja adresów URL . W większości
przypadków ten parametr brany jest
pod uwagę razem z innymi, nabiera
jednak znaczenia w momencie, kiedy
jakiś adres jest podejrzany sam z siebie
(manipulowanie nazwami tak, by adres
na pierwszy rzut oka wyglądał, jak
adres innej, znanej strony).
Ostatnim aspektem branym pod
uwagę przy szacowaniu r yzyka
jest A nti-Spam/ Spear-Phishing .
Aby uchronić użytkownika przed
niebezpiecznymi linkami w wiadomościach e-mail, ACE uruchamia
w izolowanym środowisku każdy
link i dopiero po stwierdzeniu braku
nieprawidłowości pozwala użytkownikowi na dostęp do niego. Z racji
tego, że narzędzie to uruchamiane jest
w chmurze, użytkownicy są chronieni
przez cały czas, niezależnie od lokacji.
Wykrywalność spamu jest w tym
przypadku na poziomie 99,5%.
Największą wartością technologii
ACE jest jej zdolności do korelacji
rezultatów szacowania niebezpieczeństwa na podstawie wszystkich
siedmiu kryteriów. Algorytm kalkuluje
ogólne ryzyko, a dzięki badaniu tak
wielu aspektów, jego skuteczność jest
bardzo wysoka.
System Websense Triton Enterprise
stanowi kompleksowe i kompletne
narzędzie, jakie może stać się podstawą
zapewnienia bezpieczeństwa w firmie.
Dzięki wykorzystaniu odpowiednich
rozwiązań jest w stanie odpowiedzieć
na aktualne zagrożenia, zapewniając
skuteczną ochronę poufnych danych.
Opracowano na podstawie oficjalnych
materiałów producenta
M.K
Inżynier SOLIDEX
www.SOLIDEX.com.pl
Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
15
TECHNOLOGIE
VMware Horizon View – środowisko
wirtualnych desktopów
Środowiska wirtualne na dobre zadomowiły się w serwerowniach i ciągle zwiększa
się ilość usług działających pod ich kontrolą. Dzieje się tak ze względu na lepsze
wykorzystanie zasobów fizycznych, większą elastyczność, łatwość zarządzania,
prostotę tworzenia kopii bezpieczeństwa i nadmiarowość. Wszystkie te zalety
są obecne w środowisku VMware Horizon View. A co więcej użytkownicy
mają dostęp do swojego pulpitu z dowolnego miejsca, a administratorzy mają
ułatwioną pracę.
Przegląd funkcjonalności
VMware Horizon View
Mas z yny wir tualne d z ia ł ając e
na platformie vSphere są udostępniane przez środowisko View jako
wirtualne desktopy. Użytkownicy
mogą łączyć się do nich za pomocą
zwykłych desktopów lub laptopów
z zainstalowanym klientem View.
Może to być również tzw. cienki klient.
Jest to zazwyczaj monitor z podłączoną
klawiaturą i myszą, który posiada
wsparcie dla protokołu PC over IP.
Pule wirtualnych desktopów
Administratorzy zarządzają desktopami
na poziomie pul c zyli zbiorów
podobnych do siebie desktopów.
Istnieje kilka rodzajów pul:
16
z serwera usług terminalowych
• pula manualna – Użytkownicy
Microsoft. Może być wykorzystana
otrzymują dedykowane maszyny
ze względu na ujednolicenie środowir tualne i administrator musi
wiska. Użytkownicy dostają się
skonfigurować takie przyporząddo desktopów w ten sam sposób,
kowanie dla każdego użytkownika.
niezależnie czy jest to maszyna
Wszystkie maszyny wirtualne muszą
wirtualna, czy konto na serwerze.
zostać wcześniej przygotowane przez
administratora. Pula może się składać Przy tworzeniu puli możemy wybrać
również z komputerów stacjonarnych jej typ:
z zainstalowanym agentem View. • de dic at e d – P r z y pier ws z ym
logowaniu użytkownika maszyna
Jest to przydatne w nietypowych
jest na stałe do niego przyporządprzypadkach lub w trakcie migracji
kowywana. Przy każdym kolejnym
na View,
logowaniu użytkownik dostanie
• pula automatyczna – Maszyny
s ą au t o m a t y c z n i e t w o r z o n e
dostęp do tej samej maszyny,
z wykorzystaniem prekonfiguro- • floating – Użytkownicy przypisywani są do maszyn wirtualnych
wanego szablonu (template), czyli
automatycznie w trakcie logowania.
maszyny wirtualnej z przygotoPo wylogowaniu użytkownika
wanym wcześniej przez adminiprzyporządkowanie jest zapominane
stratora systemem operacyjnym,
i maszyna wraca do puli gotowa
• pula usług terminalowych – Korzysta
Integrujemy przyszłość®
Numer: III/2013 (124)
na przyjęcie połączenia od nowego
użytkownika. Może być wykorzystana w połączeniu z pływającymi
profilami w Active Directory dla
danych użytkowników. Ma to sens
np. dla zdalnych lokalizacji. Dane
użytkownika są przesyłane lokalnie
w serwerowni, a po łączach WAN
przesyłany jest tylko obraz protokołem PCoIP lub RDP.
Linked Clone
Jeśli posiadamy komponent o nazwie
View Composer, jesteśmy w stanie
tworzyć desktopy typu linked clone.
Podobnie jak w przypadku puli
automatycznych, wszystkie desktopy
korzystają z jednego obrazu maszyny
wir tualnej. Twor zone masz yny
nie są kopiowane w całości, tylko
odwołują się do obrazu bazowego.
C z yli w momenc ie utwor zenia
nowego desktopu praktycznie nie
zajmuje on miejsca. Dopiero zmiany,
ja k ie wpr owad z i u ż y t kownik ,
są zapisywane per maszyna wirtualna.
Wpływa to na oszczędność miejsca.
Na przykład jeśli obraz bazowy
ma 10GB i utworzymy za jego pomocą
3 desk topy, ka ż dy u ż ytkownik
wprowadzi 100MB zmian, to całość
puli zajmie 10,3GB.
Na maszynie, która była wykorzystana
do utworzenia puli wprowadzamy
zmiany, a następnie je testujemy. Jeśli
testy wypadną pomyślnie przeprowadzamy tzw. recompose puli, dzięki
czemu zmiany są dystrybuowane
do wirtualnych desktopów.
Ponieważ zmiany, jakie wprowadza
użytkownik do maszyny, nie są permanentne i np. recompose je skasuje,
mamy możliwość wykorzystania
tzw. persistent disk. Są to dyski
przeznaczone na dane użytkownika.
Aby dodatkowo oszczędzić miejsce,
możemy również wykorzystać disposable file redirection. Jest to specjalny
dysk na dane tymczasowe (np. cache
przeglądarki), który jest czyszczony
przy zamknięciu maszyny.
Tryb lokalny
Użytkownicy mogą mieć możliwość
pracy w trybie lokalnym. Pozwala
on na ściągnięcie maszyny wirtualnej na komputer użytkownika
i pracę na wirtualnym desktopie bez
Linked clone
Linked clone są również wygodne
jeśli chcemy wprowadzić zmiany
we wszystkich maszynach
w puli (np. instalacja poprawek).
Komponenty VMware
Horizon View
Środowisko View jest uruchamiane
na platformie VMware vSphere.
Ponieważ wirtualne desktopy mogą
korzystać ze wszystkich zalet tej
platformy, pozwolę sobie po krótce
opisać funkcjonalności vSphere.
VMware Horizon View jest rozwiązaniem elastycznym, łatwym
w zarządzaniu i bardzo skalowalnym. Utworzenie nowego desktopu
sprowadza się do kilku kliknięć.
komunikacji ze środowiskiem View.
Aby zabezpieczyć się przed niepowołanym dostępem, cała maszyna jest
szyfrowana na dysku. Administrator
określa jak długo maszyna może
pracować bez kontaktu z View i po tym
czasie maszyna odmówi pracy w trybie
lokalnym.
Rys. 1.
mo ż emy wykor z ys t a ć f unkc jo nalność ThinApp, która pozwala
zapakować aplikację w pojedynczy
plik binarny nie wymagający instalacji. Taki plik umieszczamy na udziale
sieciowym. Po zintegrowaniu z wirtualnym desktopem pojawią się linki
w Menu St ar t i moż na u ż ywać
aplikacji w standardowy sposób.
Po kliknię ciu w ikonę aplikacji
zostanie ona odczytana z udziału
sieciowego i uruchomiona. Integracja
może również polegać na zapisaniu
pliku bezpośrednio w wirtualnym
desktopie. Zmniejszymy w ten sposób
ruch sieciowy, ale zwiększymy rozmiar
maszyn wirtualnych.
VMware vSphere
Maszyna wirtualna w środowisku
VMware to zbiór plików z danymi
i plików konfiguracyjnych. Pliki danych
(wirtualne dyski) zawierają w sobie
system operacyjny wraz z aplikacjami
i danymi użytkownika. Pliki konfiguracyjne określają, z jakich zasobów
maszyna korzysta (ilość CPU, RAM,
ThinApp
karty sieciowe itp.). Maszyny wirtualne
Wirtualne desktopy są najwydaj- są uruchamiane na hypervisorach, czyli
niejsze jeśli jesteśmy w stanie określić serwerach dedykowanych do wirtuczęść wspólną aplikacji, z których alizacji. Wszystkie hypervisory, które
korzystają użytkownicy i te aplikacje mają dostęp do plików maszyny
instalujemy na maszynie, z której wirtualnej, mogą ją uruchomić i jest
są generowane wirtualne desktopy. to w pełni przezroczyste dla systemu
W p r z yp a d k a c h s z c z e gó lny c h operacyjnego działającego na takiej
możemy na konkretnych desktopach maszynie. Wykorzystując to podejście
z a in s t a lowa ć nie s t a nda r dow e VMware zaimplementował następujące
aplikacje, jednak nie jest to wydajne, funkcjonalności:
a w przypadku linked clone praktycznie • vMotion – pozwala przenieść działającą
maszynę z jednego hypervisora na drugi.
niemo ż liwe . W t ym wyp adk u
Biuletyn Informacyjny SOLIDEX®
17
TECHNOLOGIE
• Storage vMotion – pozwala przenieść
działając ą maszynę pomię dzy
zasobami dyskowymi.
• Hig h A vailabilit y – poz wala
na natychmiastowe uruchomienie
maszyny wir tualnej na innym
hypervisorze, jeśli serwer, na którym
działała, uległ awarii.
• Thin Provisioning – nie alokuje niewykorzystanego miejsca na dyskach.
Dysk maszyny wirtualnej zajmuje
tyle miejsca, ile jest na nim danych,
ale system operacyjny widzi pełną
wielkość dysku.
• Snapshoty – pozwalają na zapisanie
stanu działającej lub wyłączonej
maszyny wir tualnej i przywrócenie tego stanu w razie potrzeby.
Uł atwiają twor zenie kopii
z ap a s ow y c h lub t e s t ow a nie
poprawek.
• Dynamic Resource Scheduler –
korzystając z vMotion dynamicznie
równoważy obciążenie hypervisorów. Automatycznie przenosi
maszyny wirtualne z przeciążonych
serwerów.
Rys. 2.
Komponenty VMware Horizon View
tworzyć specjalny rodzaj desktopów
typu linked clone, to musimy mieć
również View Composer. Za pomocą
ThinApp jesteśmy w stanie zapakować
standardową aplikację w jeden plik
wykonywalny, który nie wymaga
Środowisko View
instalacji i zintegruje się z wirtualnym
desktopem w sposób przezroczysty
Podstawą środowiska jest VMware dla użytkownika. Do wirtualnych
vSphere. Wirtualne desktopy działają desk t opów moż emy ł ąc z yć się
jako standardowe maszyny wirtualne. ze standardowych komputerów,
Zarządzaniem środowiskiem zajmuje cienkich klientów lub urządzeń
się View Manager. Jeśli chcemy mobilnych.
Rys. 3.
18
ViewManager
Integrujemy przyszłość®
View Manager
View Manager jest komponentem
przeznaczonym do zarządzania środowiskiem. Jest to wymagany element
środowiska i działa jednocześnie jako
serwer połączeń. Użytkownicy łączą
się z nim aby uzyskać dostęp do swoich
desktopów. Do zarządzania wykorzystuje interfejs webowy.
V iew Manager posiada wiedz ę
na t emat ś r odowisk a vSpher e
i może wykorzystać jego maszyny
wirtualne jako wirtualne desktopy.
Numer: III/2013
(124)
II/2012 (119)
Podsumowanie
Jeśli
korzystamy z dodatkowych
elementów środowiska View (np.
Lync jest wieloplatformowy,
dodatkowy
serwer połączeń lub może
View
działać
zarówno
na komputerach
Composer) to zintegrują
się one z View
stacjonarnych Windows i Mac OS,
Manager.
jak i Platformach Mobile Windows
Phone, iOS Server
(iPad, iPhone), Android.
Connection
Podstawowy
D la du ż y c h interfejs
ś r o d owinie
s k odbiega
m a my
od
wzorcowego
okna
komunikatora
możliwość instalacji wielu serwerów
internetowego.
Rysunekkonfiguracji
3 przedstawia
połączeń.
W trakcie
pionowo
zorientowaną
listę
kontaktów
środowiska możemy wybrać,
które
ze
zdjęciami,
obok
umieszczono
desktopy są dostępne przez status
dany
i opis, w
górnej części menu podstaserwer
połączeń.
wowych funkcji. Wspomniany pulpit
nawigacyjny
upraszcza odnajdowanie
View
Composer
iSerwer
używanie
typowych
takich
zajmujący sięfunkcji,
tworzeniem
jak
klawiatura
numeryczna,
wizualna
i zarządzaniem desktopami typu linked
poczta głosowa, lista kontaktów i lista
clone.
aktywnych konwersacji.
Lync
jest
bardzo elastyczny, jeśli
Transfer
server
chodzi
o
wdrożenia
i możliwości
Serwer zajmujący się udostępnianiem
integracji.
Możliwa
jest również
maszyn dla trybu lokalnego.
Pozwala
integracja
programu
istniejącą
ściągnąć maszynę naz komputer
telefonią IP, jak na przykład Cisco.
użytkownika.
Rysunek 2 przedstawia przykładową
integracjęServer
z IP telefonami.
Security
Pozwala na bezpieczne połączenie
Powyższy
artykuł miał
celu przedze
środowiskiem
Viewna
z Internetu
bez
VPN. aplikacji Lync od strony
stawienie
użytkownika. Program Microsoft Lync
Podsumowanie
2010 to doskonały klient do ujednoliconej komunikacji z możliwością
VMware
Horizon View
jest rozwiąobsługi wiadomości
błyskawicznych,
zpołączeń
a nie m egłosowych
la s t yc z nym
, łspotkań.
a t w ym
oraz
w
i bardzo skalowalnym.
Wzarządzaniu
zak tualizowanym
inter fejsie
Ut
wor zenieprogramu
nowegoLync
derozmaite
sk t opu
użytkownika
sprowadza
się komunikacji
do kilku kliknięć.
Jeśli
narzędzia do
rozmieszzaczyna
brakować
zasobów,
czono w nam
sposób
usprawniający
ich
to
wystarczy
rozbudować
obsługę.
Funkcje
konferencjiplatformę
są jeszcze
vSphere,
co również
niewbudowanej
jest skompliskuteczniejsze
dzięki
kowane.
Od strony środowiska
View
funkcji udostępniania
pulpitu i aplikacji,
nie
musimy
nic robić, żeby
skorzystać
funkcji
przekazywania
w programie
zPower
nowych
Backup
jest
Pointzasobów.
oraz funkcji
kopiowania
uproszczony,
bo nie trzeba
i wklejania obrazów
i innejintegrować
zawartości.
desktopów z systemem backupu,
wystarczy
zintegrować
go zoficjalnych
platformą
Opracowano
na podstawie
vSphere.
Użytkownicy
materiałów
producenta.mają dostęp
do swoich aplikacji niezależ nie
od urządzenia, z którego korzystają
M.G.
i miejsca, z którego
pracują.SOLIDEX
Inżynier
SOLIDność
w każdym działaniu...
Opracowano na podstawie oficjalnych
materiałów producenta.
J.R.
Inżynier SOLIDEX
Biuletyn Informacyjny SOLIDEX®
SOLIDEX®
1933
ROZWIĄZANIA
Wiedza
– porządek w bezpieczeństwie
Bezpieczeństwo współczesnych sieci stanowi nie lada wyzwanie dla
administratorów. Centralizacja i integracja zasobów, wirtualizacja, nowe
usługi nie ułatwiają tego zadania. Na pierwszym miejscu stawia się zawsze
zaimplementowanie danej usługi, zwraca się uwagę na zasoby, jakie
są potrzebne, dba o wydajność. Dopóki system działa, nic złego potencjalnie
się nie dzieje. Jednak w pewnym momencie nadchodzi dzień, w którym sieć
może stać się celem ataku DDoS, wykradane są dane, zdarza się także, że sieć
działa wydajnie i bez problemów, ale jest równocześnie źródłem spamu lub jest
sterowana przez zewnętrzne serwery typu Command and Control.
W poniższym artykule postaramy
się przybliżyć zagadnienia związane
ze współczesnymi systemami zabezpieczeń. Niejednokrotnie wśród
naszych klientów zdarzają się systemy,
które nie wymagają rewolucyjnych
zmian, a po drobnej kosmetyce
są w stanie zabezpieczyć całe systemy
siec iowe pr zed wspó łc zesnymi
zagrożeniami.
Spośród wielu obecnie dostępnych
technologii i systemów wybraliśmy
kilka, które stanowią trzon, bez
którego współczesne sieci w praktyce
nie mogą efektywnie funkcjonować
a jednocześnie są punktem wyjścia
dla instalacji bardziej wyrafinowanych
systemów ochrony i zarządzania
bezpieczeństwem.
20
Pierwszy stopień
bezpieczeństwa: ściana
ogniowa (firewall)
Na początku był firewall. W pierwszych
implementacjach prosty, operujący
na informacjach zawartych w warstwie
drugiej i trzeciej sieci według modelu
ISO OSI. Wówczas liczyła się przede
wszystkim wydajność, z reguły dlatego,
że funkcjonalność implementowana
była głównie na routerach, których
podstawową cechą jest przesyłanie
pakietów zgodnie z tablicą routingu,
co muszą robić naprawdę szybko.
W literaturze bardzo często spotyka
się określenie, że były to firewalle
pierwszej generacji.
Kolejnym etapem rozwoju tych
Integrujemy przyszłość®
systemów były firewalle aplikacyjne. Dedykowane systemy, które
posiadają moż liwo ś ć inspekc ji
informacji w pe ł nym spektrum,
włącznie z warstwą aplikacji. Taki
system stanowił duży krok naprzód
w dziedzinie zabezpieczeń, który
jednak została okupiony zdecydowanym spadkiem wydajności.
Problem stanowił również wachlarz
wspieranych aplikacji. Każda aplikacja
wymagała dedykowanego systemu
lub modułu, który potrafiłby rozpoznawać taką aplikację i dobierać
dla niej odpowiednie mechanizmy
zabezpieczeń.
Trzeci etap rozwoju to dobrze dziś znane
i szeroko obecne firewalle stanowe.
Bez nich współczesne projektowanie
Numer: III/2013 (124)
systemów zabezpieczeń nie może
się obejść. Operowanie na maszynie
stanowej protokołu TCP jest rozwiązaniem, które przez ostatnie 20 lat
sprawdzało się najlepiej. Jednak
i ono nie jest wolne od problemów,
związanych choćby z inspekcją protokołów operujących na dynamicznych
portach, jak SIP czy rodzina protokołów RPC. Każdy producent takich
systemów w różnym stopniu adresuje
i rozwiązuje te problemy, co może
stanowić jedno z kryterium wyboru
stosowanego rozwiązania.
Pojawia się więc pytanie, w jakim
kierunku rozwijają się dalej produkty
firewall? Kilka lat temu liczni producenci
rozpoczęli ewolucję swoich rozwiązań
Firewall w kierunku systemów zunifikowanego zarządzania zagrożeniami
– Unified Threat Management (UTM).
Do inspekcji stanowej dodano różne
mechanizmy analizy zawartości, jak
zapobieganie włamań (funkcjonalność
IPS), antywirus, antyspam, filtrowanie
adresów URL. Te elementy połączono
z pracą w wysokiej dostępności, zintegrowanym systemem zarządzania i tak
powstał nowy produkt. Aktualnie
w rozwiązaniach UTM znajdziemy
również funkcje zabezpieczające
przed wyciekiem danych, ale z reguły
jest to tylko stosunkowo okrojona
namiastka możliwości w stosunku
do dedykowanych systemów tego
typu. W tym aspekcie bardzo dużo
zrobiła ostatnio firma CheckPoint
i wraz z wersją R76 dokonała bardzo
ciekawych udoskonaleń.
Instalacja w sieci urządzenia UTM
sama w sobie jest dobrym posunięciem,
jednak wiele firm uległo złudzeniu,
że jedno urządzenie sieciowe działające
na styku z siecią Internet zastąpi
wiele innych systemów. W praktyce
okazało się, że takie systemy UTM
pozwalają w znaczy sposób ograniczyć
ilość zagrożeń, ale jest to okupione
wymaganą bardzo wysoką wydajnością takich urządzeń, co jest bardzo
trudne do oszacowania na etapie
tworzenia projektu i dobierania
rozwiązania (konkretnej platformy),
a zmieniające się warunki w sieci
powodują, że niedawno zakupione
maszyny stosunkowo szybko okazują
się niewystarczające. Dlatego „unowocześnienie” rozwiązania firewall o nowe
funkcje powinno stanowić tylko
uzupełnienie innych systemów, a nie
być postrzegane jako kompleksowy
system, przy którym zapomina się
o dedykowanych rozwiązaniach.
Stosunkowo niedawno, niec ałe
trzy lata temu pojawił się termin
Next Generation Firewall (NGFW)
i w nim należy dopatrywać się realnego
następcy klasycznych firewalli. Usługi,
które działają i komunikują się
za pomocą sieci znacznie się rozwinęły.
Definiowanie usług za pomocą portów
przestało być wystarczającą metodą
ich weryfikacji. Rozwój aplikacji internetowych przeniósł znaczną część
ruchu na port 80, który z poziomu
firewalla stanowego jest z reguły
przepuszczany w całości. Producenci
w tej sytuacji zastosowali dwa uzupełniające się mechanizmy:
• dobrze znane filtrowanie adresów URL,
• analizę sygnaturową na wzór tej
stosowanej w systemach IPS.
Dochodzi do tego jeszcze możliwość
blokowania tzw. widgetów internetowych (głównie dostępnych
na portalu typu Facebook), ale jest
to raczej dodatek dla wybranych niż
Next Generation Firewall
Kontrola aplikacji
TAK
Identyfikacja użytkowników
Active Directory, Captive portal, Agent
System zapobiegania włamaniom
TAK
Wirtualne sieci prywatne
IPSec VPN, SSL VPN *
Praca w trybie wysokiej dostępności
Active/Active i Active/Standby
Praca w warstwie 2 i/lub w warstwie 3
TAK
Unified Threat Management
Anti-Virus
TAK
Anti-Spam
TAK
Filtrowanie URL
TAK
Anti-Bot
TAK
Data Loss Prevention
Fingerprinting
Virtual Private Network
IPSec VPN, SSL VPN
Zintegrowane zarządzanie
TAK
Funkcje warte uwagi
Inspekcja ruchu SSL
Proxy SSL , SSH
Bezpieczeństwo zasilane z chmury producenta Zero-Day Security
TAK
System raportowania
TAK
Tabela 1. Charakterystyka technologii NextGeneration Firewall i Unified Threat Management
Biuletyn Informacyjny SOLIDEX®
21
ROZWIĄZANIA
wymaganie konieczne w dzisiejszym
świecie zabezpieczeń.
Kolejnym etapem, w szczególności
dla rozwiązań typu por tal, było
zapewnienie bezpieczeństwa podczas
wymiany danych. Celem zapewnienia
poufności, integralności i uwierzytelnienia zaczęto stosować protokół
SSL. Z punku widzenia inspekcji ruchu
pojawiła się jednak kolejna przeszkoda
w postaci ruchu szyfrowanego, który
jest przeźroczysty dla klasycznych
rozwią zań. Producenci i w tym
przypadku zapewnili odpowiednie
mechanizmy, aby to co zaszyfrowane
stało się dla firewalla jawne. Proxy SSL
dla ruchu wychodzącego, jak również
przychodzącego jest już od niedawna
standardem w rozwiązaniach tej klasy.
Warto zauważyć, że wraz z tymi
systemami zyskuje się możliwość
integracji z Microsoft Active Directory
celem identyfikacji użytkowników
przechodzących przez punkty egzekwowania polityk.
Firewalle z przedrostkiem next
generation posiadają wiele funkcjonalności wykorzystywanych praktycznie
na co dzień, dlatego warto w nie
zainwestować. Jeśli nie już dzisiaj,
to na pewno w niedalekiej przyszłości
każdemu administratorowi przyjdzie
zmierzyć się z tym zagadnieniem.
Tabela nr 1 przedstawia podstawowe
cechy charakteryzujące rozwiązania
firewall typu UTM i Next Generation.
Drugi stopień
bezpieczeństwa: systemy
wykrywania i zapobiegania
włamaniom IPS
Podobnie jak w przypadku rozwiązań
firewall nie jest to technologia nowa.
Najczęściej jest to urządzenie instalowane w sieci, działające całkowicie
transparentnie dla ruchu produkcyjnego. W takiej formie system może
analizować cały ruch pod względem
anomalii, jak również porównywać
go z bazą wzorców dostarczoną przez
producenta, umożliwiając blokowanie ruchu zaklasyfikowanego jako
niebezpieczny, a nie tylko informowanie administratora o zdarzeniach,
jak miało to miejsce w przypadku
urządzeń wcześniejszej generacji
Intrusion Detection System (IDS). O ile
firewalle umożliwiają separację sieci
i kontrolę przepływu pakietów, o tyle
systemy IPS analizują już przetworzony ruch pod względem różnych
nieprawidłowości.
Ten system bezpieczeństwa wydaje
się nieodzowną czę ścią każdego
środowiska IT. Jednak napotykał,
i w dalszym ciągu stwarza liczne
problemy, zwłaszcza przy administracji
i optymalizacji jego działania. Nie jest
to z całą pewnością produkt o którym
można zapomnieć od razu po jego
wdrożeniu. Aby działał skutecznie
wymagane je s t jego c yk lic z ne
strojenie. I ten proces w dużej mierze
jest problemem klasycznych sond IPS.
Brak odpowiednich mechanizmów,
które będą wspierały administratora
przy efek tywnej prac y z t akim
systemem, był powodem, dla którego
te systemy nie przekonały szerokiego
rynku, co do skuteczności swojego
funkcjonowania.
Systemy IPS również ewoluowały
i ak tualnie moż na się spot kać
z terminem Next Generation IPS.
Klasyczne sondy zostały wyposażone
w nowe mechanizmy analizy ruchu,
zapewniając również pomoc administratorowi przy konfiguracji. Pojawiły
się takie funkcje jak:
• Integracja ze skanerami podatności
– systematyczna analiza sieci takim
skanerem pozwoli dobrać zestaw
sygnatur dopasowany do danego
środowiska,
• Filtry bazujące na reputacji, które
Next Generation IPS
Porównywanie wzorców – sygnatury
TAK
Identyfikacja i kontrola aplikacji
TAK
Integracja z zewnętrznymi skanerami podatności
TAK
Analiza i kategoryzacja informacji w warstwie 7
TAK
Identyfikacja użytkowników
TAK
Kwarantanna urządzeń
TAK
Funkcje warte uwagi
Dedykowane rozwiązania sprzętowe
ASIC
Praca w trybie FailOpen (w razie awarii)
Wbudowany/Zewnętrzny Aktywny/Pasywny
Nauka charakterystyki ruchu
Zaawansowana ochrona (D)DoS
Własna baza podatności
Poprawność analizy
Implementacja w środowisku wirtualnym
Inspekcja w trybie IPS/IDS
Reputacja plików
AntiVirus
Analiza przepływów
Netflow
Punkt wejścia
Trajektoria rozprzestrzeniania się zagrożeń
Deszyfrowanie SSL
Na tym samym lub wydzielonym urządzeniu
Tabela 2. Charakterystyka technologii NextGeneration IPS
22
Integrujemy przyszłość®
Numer: III/2013 (124)
blokują komunikację z niebezpiecznych hostów czy sieci znajdujących się w Internecie,
• Rozpoznawanie aplikacji na postawie
sygnatur, podobnie jak ma to miejsce
w przypadku Next Generation
Firewall,
• Integracja z usługami katalogowymi
celem dokładniejszej analizy zdarzeń,
• Wykrywanie i klasyfikacja systemów
w sieci – z poziomu konfiguracji
sondy można otrzymać informacje
o aktualnym stanie danej sieci, np.
jakie systemy komunikują się z siecią
Internet, jak kształtują się przepływy
na podst awie analizy danych
z protokołu NetFlow; wachlarz
dostępnych informacji jest w dużej
mierze zależny od producenta.
Najważniejszym elementem jest
wsparcie, jakie administrator dostaje
od systemu podczas jego konfiguracji. Nie musi już sam tworzyć profilu
swojej sieci i dobierać ręcznie każdej
sygnatury. Wiele działań zostało zautomatyzowanych, a niektóre systemy
same podpowiadają, jakie elementy
inspekcji powinny zostać wymuszone.
Jeśli tylko jest taka możliwość, warto
zwrócić uwagę na ewolucję tych
systemów. Osoby, które do tej pory
nie były przekonane do tej technologii,
mogą być mile zaskoczone.
Tabela nr 2 przedstawia kluczowe
cechy charakterystyczne dla rozwiązań
Next Generation IPS i najciekawsze
funkcje godne uwagi.
Trzeci stopień
bezpieczeństwa:
bezpieczeństwo treści
Najc zę ściej wykorzystywanymi
kanałami komunikacyjnymi we współczesnym świecie IT są WWW i email.
Dzięki nim firmy efektywnie pracują
i współpracują, a ludzie zyskują
możliwoś ć szybkiej komunikacji
i zdobywania dowolnych informacji
za pośrednictwem urządzeń elektronicznych. Rynek ma to do siebie, że jeśli
coś jest popularne, to z reguły szybko
zostaje wykorzystane do generowania
zysków lub zaszkodzenia drugiej
osobie. Nie inaczej jest z pocztą internetową i stronami WWW. Z zalewem
spamu rynek walczy od samego
poc zątku, podobnie z zawirusowanymi plikami ściąganymi ze stron
internetowych. Wraz z rozwojem
technik programistycznych i zwiększeniem dostępności usług sieciowych,
również stopień i złożoność zagrożeń
znacznie ewoluowały. Wiele stron, czy
domen działa tylko przez określony
czas, a ataki są coraz częściej nakierowane na określoną, często wąską
grupę odbiorców. W tym zakresie dużą
rolę odegrały również sieci bot. O ile
na początku były one dostępne dla
relatywnie wąskiej grupy „odbiorców”,
o tyle uwolnienie kodu trojana ZeuS
spowodowało powstawanie nowych
sieci tego typu. Dzisiaj już niemal każdy
może za niewielką opłatą wynająć
taką sieć celem przeprowadzania ataku
na wskazane przez siebie zasoby.
Realizacja mechanizmów ochrony
w dost ępnie do zasobów. C zyli
stronę widoczną pod adresem URL
można zablokować, ale sprowadza się
to do blokady całego serwisu, a nie
tylko niebezpiecznej zawartości stanowiącej jego niewielką część.
Rozwiązania dostępne na licencji
GPL nie zawierają również zaawansowanych funkcji zarządzania i raportowania. Bez tych mechanizmów
trudno sobie wyobrazić działanie
takich produktów w sieciach korporacyjnych, w których liczy się szybkość
reakcji na zagrożenia, a dyrekcja prosi
administratorów o cykliczne raporty
z każdego systemu bezpieczeństwa.
Producenci zauważyli również, że przy
wymianie danych wspomnianymi
Współczesne systemy bezpieczeństwa potrzebują jednak ciągłego
zasilania aktualizacjami, aby wykazały się skutecznością działania
na wymaganym, wysokim poziomie.
kanał u komunikac yjnego www
wykonywana jest w kilku etapach.
W pewnym uproszczeniu, dla kanału
W W W moż na wydzielić nast ę pujące fazy:
• Filtrowanie adresów UR L
na podstawie przypisanej kategorii,
• Filtrowanie adresów UR L
na podstawie reputacji,
• Analiza antywirusowa.
Tak ie syst emy ju ż funkc jonują
i są dostępne nawet jako rozwiązania
open-source, a w przypadku niektórych
baz za niewielką opłatą.
Wsp ó ł c z e sne sys t e my b e z pie czeństwa potrzebują jednak ciągłego
z a s ila nia a k t ua li z ac ja mi , ab y
wykazały się skutecznością działania
na wymaganym, wysokim poziomie.
Producenci implementują trzy uzupełniające się mechanizmy do realizacji
tego celu:
1. analiza danych na serwerach
producenta,
2. szybkie aktualizacje bazy danych,
nawet co kilka minut,
3. analiza i kategoryzacja treści
na urządzeniach.
W czasach dynamicznie zmieniających
się stron internetowych statyczne bazy
ograniczą tylko ruch do Internetu
z danej sieci, a nie zapewnią ochrony
Biuletyn Informacyjny SOLIDEX®
kanałami komunikacyjnymi istotny
jest jeszcze jeden czynnik – ochrona
informacji wrażliwych. Dane przedsiębiorstw dotyczące klientów, patentów
i technologii, czy planów strategicznych, stały się cennym towarem,
który w momencie dostania się
w niepowołane ręce jedne firmy może
wręcz wyeliminować z rynku, a inne
podnieść w różnych rankingach. Aby
chronić tego typu informacje zaproponowano szereg technologii, które
mają za zadanie analizowanie danych
przepływających przez odpowiednie
bramki web i email, celem wyszukiwania informacji wrażliwych i potencjalnie niebezpiecznych. Początkowo
były to proste filtry, które operowały
na typach plików i wyrażeniach
regularnych. Z biegiem czasu pojawiły
się techniki zwane fingerprinting
(odcisk palca). W ich przypadku liczone
są funkcje mieszające. W zależności
od producenta może być to hash
z pliku binarnego lub z czystego
tekstu, który jest zakodowany w pliku.
Najbardziej dokładne mechanizmy
operują na maskach, które liczone
są z odpowiednio przeformatowanego
tekstu. Taka metoda analizy powoduje,
że analiza danych na bramach jest
skuteczna również w momencie
23
ROZWIĄZANIA
Bezpieczeństwo treści
Cechy ogólne
Integracja z Microsoft Active Directory
TAK
System raportowania i analizy
TAK
Współpraca z systemami SIEM
TAK
Usługi w chmurze
Niezależne lub zintegrowane
Bezpieczeństwo zasilane z chmury producenta Zero-Day Security
TAK
Wsparcie dla urządzeń mobilnych
TAK
Web Security
Proxy dla ruchu szyfrowanego
TAK
Baza danych adresów URL
Mechanizmy rekategoryzacji
Dynamiczna kategoryzacja i klasyfikacja
TAK
AntiVirus i AntiMalware
TAK
Email Security
Selektywne szyfrowanie poczty
TAK
Graylisting
TAK
System AntiVirus
TAK
Data Security
Analiza danych na zasobach sieciowych oraz w bazach danych
TAK
Fingerprinting
TAK
OCR
TAK
Misrosoft RMS
TAK
Tabela 3. Charakterystyka technologii bezpieczeństwa treści
modyfikacji informacji bazowej.
Skutecznoś ć jak zawsze zawar ta
jest w szczegółach. Optymalizacja
parametrów działania tych mechanizmów jest kluczem do poprawnego
wdrożenia systemu. War to zdać
sobie w tym miejscu sprawę, że nie
ma systemów gwarantujących 100%
wykrywalności takich incydentów.
Aktualnie istnieją już systemy, które
oferują analizę formatów graficznych
(OCR), ale wdrożenie skutecznego
systemu chroniącego przed
wyciekiem danych zawsze będzie
się wiązało z inwestycją w różne
elementy systemów bezpieczeństwa,
w tym w system kontroli dostępu
do zasobów.
Z tego wniosku płynie poniekąd
konieczność dalszej ewolucji tych
systemów – niezbędna jest edukacja
i automatyczne informowanie pracowników o potencjalnie niepożądanych
działaniach, które podejmują podczas
codziennej pracy.
W efekcie systemy Web, Email i Data
24
Loss Prevention posiadają liczne
funkcje, które zwiększają poziom
bezpieczeństwa. Wybrane elementy
takich systemów zostały przedstawione w tabeli nr 3.
w niejednym systemie IT. Zmiany
w tej technologii opierają się głównie
na wprowadzeniu obsługi nowych
st andardów k r yptografic znych,
optymalizacji działania mechanizmów
routingu oraz lepszego systemu zarząCzwarty stopień
dzania i raportowania. Technologia
bezpieczeństwa:
ta jest już bardzo dojrzała i jej produkty
równoważenie obciążenia
kierowane na rynek biznesowy
i ochrona aplikacji
spełniają oczekiwania praktycznie
każdego klienta.
Bezpieczeństwo środowiska IT odnosi W przypadku tych produktów dzisiaj
się do wielu jego aspektów. Nie liczy się bardziej wysoka wydajność
ominęło ono również centrów danych i możliwość uruchomienia dodati serwerów aplikacyjnych. W nomen- kowych mechanizmów kontroli
klaturze ukuł się termin Application danych, między innymi firewalla
Delivery Controller (ADC), który określa aplikacyjnego.
zestaw mechanizmów mających dopro- Web Application Firewall jest zbiorem
wadzić do stanu, w którym serwe- technik zabezpieczeń dedykowanych
rownie będą charakteryzowały się aplikacjom działającym w oparciu
wysoką dostępnością, niezawodnością, o protokołu HT TP. W dzisiejszym
będą skalowalne i chronione przed świecie ilość takich aplikacji rośnie
zagrożeniami. Poniżej powiemy więcej bardzo dynamic znie. K a żda ju ż
o dwóch elementach: równoważeniu niemal firma udostępnia usługi
obciążenia i ochronie aplikacji WWW. dla swoich klientów i partnerów.
Pierwszy element zadomowił się już Mało kto na etapie rozwoju takiej
Integrujemy przyszłość®
Numer: III/2013 (124)
Application Delivery Controller
Instalacja w środowisku wirtualnym
Web Application Firewall
Ochrona sygnaturowa
Optymalizacja procesów zarządzania sesjami
Ochrona DoS i DDoS
Implementacja języka skryptowego w celu uzupełnienia
funkcjonalności
Selektywne szyfrowanie
Równoważenie obciążenia na podstawie informacji
z różnych warstw OSI
Monitorowanie stanu i dostępności serwerów i usług
Dynamiczne metody równoważenia ruchu
Utrzymanie ciągłości sesji
Ochrona przed atakami na aplikacje internetowe
(XSS, SQL Injection, …)
Analiza logiki aplikacji
Integracja ze skanerami podatności
Ochrona przed botami
Virtual Patching
Geolokalizacja i reputacja IP
Tabela 4. Cechy rozwiązań Application Delivery Controller i Web Application Firewall
aplikacji pamięta o jej bezpieczeństwie. Ta kwestia, zazwyczaj spychana
na ma r g ine s , nieje dnok r ot nie
ostatecznie jest pomijana ze względu
na napięte terminy. Coraz więcej
aplikacji jest więc podatnych na ataki,
a współczesne narzędzia pozwalają
szybko dostać się do takich niechronionych zasobów. Najczęściej spotykanymi mechanizmami ochrony są:
• analiza logiki aplikacji i zmian jakie
towarzyszą przy jej rozwoju,
• ochrona sygnaturowa, która może
zostać zrealizowana przez opisany
wcześniej system Next Generation
Firewall,
• element wielowar stwowej
ochrony przed atakami DoS i DDoS
dedykowany dla warstwy aplikacji,
• wysunięcie mechanizmów ochrony
poz a ś rodowisko aplikac yjne ,
co skutkuje tym, że bezpieczeństwem
zajmują się osoby dedykowane
do tego celu, a niekoniecznie deweloperzy aplikacji, którzy niekoniecznie
posiadają taką wiedzę.
Istotną cechą tych systemów jest to,
że poziom ochrony może wzrastać
wraz ze wzrostem wiedzy administratora takiego systemu. Pierwsze
fazy wdrożenia mogą być przeprowadzone praktycznie automatycznie
przez system z minimalnym zaangażowaniem personelu. Optymalizacja
i stopniowe dostosowywanie (tuning)
odbywa się już przez odpowiednie
osoby i z możliwym zaangażowaniem
programistów.
Systemy te zyskują coraz większą
popularność. Może to być spowodowane również tym, że firmy coraz
częściej padają ofiarą ataków i mają
problemy ze skutecznym chronieniem
swoich zasobów przed współczesnymi
zagrożeniami.
Tabela nr 4 podsumowuje charakterystyczne cechy rozwiązań Application
Delivery Controller i Web Application
Firewall.
Podsumowując, zabezpieczenie współczesnych sieci stanowi duże wyzwanie.
Jest wiele elementów, na które administrator sieci musi zwracać uwagę,
a pojawiające się nowe trendy nie
tylko mu tego zadania nie ułatwiają,
ale wręcz utrudniają. Każdy producent
wspomnianych systemów bezpieczeństwa próbuje zaistnieć na rynku
przedstawiając swój produkt w jak
najlepszym świetle, podkreślając szczególnie cechy, które najlepiej zaimplementował w swoim rozwiązaniu.
Jednak to każdy z odpowiedzialnych
za dane środowisko sieciowe indywidualnie musi sobie odpowiedzieć
na pytanie, co tak na prawdę chce
chronić i co może z tego zrealizować
przez systemy, które ma już aktualnie
wdrożone.
T.P.
Inżynier SOLIDEX
Biuletyn Informacyjny SOLIDEX®
25
ROZWIĄZANIA
Efektywniej, taniej, łatwiej …
INFOBLOX
Jeszcze nigdy zarządzanie siecią korporacyjną oraz jej krytycznymi usługami
takimi jak: serwery DHCP, DNS oraz adresacją IP nie było tak łatwe, bezpieczne
i efektywne, jak dzisiaj.
Obecnie przed administratorami IT
w firmach stawia się coraz wyższe
wymagania. Systemy informatyczne
charakteryzują się coraz większą
złożonością i skomplikowaną budową
or a z wię k s z ymi z ale ż no ś c iami
między sobą. Dodatkowo szybkimi
krokami zbliża się wizja migracji
z protokołu IPv4 do IPv6. Do tego
wszystkiego dochodzi rosnąca liczba
zapytań DNS generowanych przez
użytkowników i wzrastająca ilość
urządzeń, które działają w sieci.
Z uwagi na powyż sze c z ynnik i
margines dopuszc zalnego błędu
administratora IT, w takich rozbudowanych systemach informatycznych,
jest minimalny. Dlatego też coraz
łatwiej jest doprowadzić do totalnego
paraliżu środowiska informatycznego
w firmie.
Obecna sytuacja w firmowych środowiskach informatycznych generuje
potrzebę centralnego zarządzania
krytycznymi usługami dostępnymi
w sieci oraz monitorowania i zarządzania urządzeń wielu producentów
z poziomu jednego rozbudowanego,
26
z aut omatyzowanego i ł atwego
w obsłudze systemu.
Tak narodziła się idea rozwiązań
firmy Infoblox DDI oraz NetMRI.
w lokalizacjach wpływa niekorzystnie
na poprawność oraz płynność funkcjonowania sieci firmowych. Dzięki
rozwiązaniu Infoblox DDI w skład,
którego wchodzi centralnie zarządzany
Co to jest Infoblox DDI?
serwer DNS możemy zautomatyzować
dotychczas ręcznie wykonywane,
To gwaranc ja wysokiej dost ęp - powt ar z alne konfigurac je ora z
ności wszystkich krytycznych usług poprawić ich wydajność (rysunek 1).
sieciowych dokładnie tam, gdzie ich Redukuje to ryzyko powstania błędu
potrzebujemy. Dzięki automatyzacji ludzkiego do minimum.
i kontroli nad takimi
usługami jak: DNS,
DHCP czy też IPAM
Nazwa
du ż o ł at wiejs z e
jest eliminowanie
ryzyka popełnienia
Adres IPv4
błędu przy rekonfigurac ji infrastruktury sieciowej.
Adres IPv6
DNS (Domain
Name Server)
Coraz większa liczba
zapytań DNS oraz
brak centralnego
zarządzania
s e r w e r a mi DN S
Rys. 1.
DNS
Integrujemy przyszłość®
Numer: III/2013 (124)
Sieć IPv6
Zakres delegowanych prefiksów
Zakres podsieci IPv6
Adresy IPv6
Rys. 2.
IPAM (IP addres managament)
Duża liczba różnorodnych urządzeń
wewnątrz sieci firmowej, wir tualizacja, duża liczba podsieci oraz
w wielu przypadkach rozproszona
architektura geograficzna generuje
potrzebę centralnego zarządzania całą
adresacją IP w firmie. Dzięki rozwiązaniu IPAM w bardzo łatwy sposób
możemy dodawać i usuwać podsieci
eliminując jednocześnie błąd ludzki.
Narzędzie to pozwala nam dodatkowo
na analizę, monitoring oraz raportowanie zajętości puli adresowej
wewnątrz naszego środowiska (Rys. 3).
Dzięki temu zawsze jesteśmy gotowi
na rozbudowę sieci oraz zmiany jakie
przyniesie przyszłość.
IPv6DHCP
Infoblox Grid
W instytuc jach o roz proszonej
IPv6 (Kontener)
Wsparcie dla atrybutów
strukturze geograficznej w wielu
przypadkach problemem pozostaje
znalezienie rozwiązania, które zawierałoby automatyzację zarządzania,
oferowałoby rozproszeniem usług
i jednocześnie było środowiskiem
odpornym na awarie. Dzisiaj wszystkie
te cechy można osiągnąć dzięki zastosowaniu technologii Infoblox Grid.
Infoblox Grid to zbiór niezawodnych
i połączonych w bezpieczny sposób
urządzeń dostarczających jedną lub
więcej usług. Główne urządzenie
nazywane Grid Master znajduje się
w centralnym punkcie rozproszonej
geograficznie architektury usług
sieciowych, Grid Master odpowiada
za koordynowanie działania mniejszych urządzeń zainstalowanych
w lokalizacjach, za ich aktualne
polityki sieciowe, konfiguracje itp.
Sieci IPv6
(rysunek 4). Jednocześnie umożliwia
konfigurowanie wybranych urządzeń
niezależnie z jednego centralnego
Rys. 3. IPv6IPAM
punktu. Natomiast w lokalizacjach
znajdują się mniej wydajne urządzenia,
DHCP (Dynamic Host Configuration zarządzania usługą DHCP poprzez dzięki czemu możemy budować
Protocol)
monitorowanie zajętości adresów IP rozproszoną i bezpieczną architekturę
Rozproszona i rozbudowana obecnie z zadanej puli serwera oraz podejmo- za rozsądne pieniądze. W jednej z lokaliinfrastruktura sieciowa jest dużym waniu odpowiednich akcji jeśli pula zacji w celu zapewnienia redundancji
wyzwaniem dla administratorów zostanie wykorzystana (rysunek 2). urządzenia w lokalizacji centralnej
IT. W tak złożonych systemach Rozwiązanie Infoblox DDI daje nam wybieramy jedno urządzenie, które
nie trudno o proste błędy, które pewność, że nowym urządzeniom w przypadku awarii łącza do lokaliostatecznie prowadzą do długich zawsze zostanie przydzielony adres IP, zacji centralnej przejmie funkcję
przestojów, a co za tym idzie do zwięk- a dodatkowo dzięki zaawansowanym centralnego zarządzania wszystkimi
szenia kosztów związanych z utrzy- funkcjom raportowania mamy wgląd innymi urządzeniami, takie urządzenie
maniem sieci firmowych. Dzięki w historię przydzielania adresów IP nazywamy Grid Master Candidate.
rozwiązaniu firmy Infoblox całko- konkretnym urządzeniom w intere- Jeśli jeszcze architektura rozproszona
wic ie aut omat yz ujemy pr o c e s sującym nas czasie.
z redundancją Grid Mastera jest
Biuletyn Informacyjny SOLIDEX®
27
ROZWIĄZANIA
niewystarczająca, to można w centrali
jak i lokalizacjach rozbudować system
o dodatkowe urządzenia, które będą
pracować w trybie HA. Technologia
ta zmniejsza ryzyko wystąpienia
awarii, zwiększa wydajność poprzez
lokalne świadczenie krytycznych
usług sieciowych DHCP, DNS i IPAM,
jednocześnie zachowując centralny
punkt zarządzania. Przykład działania
Infoblox Gird w przypadku różnych
anomalni oraz awarii opisuje rysunek 5.
Dzięki rozwiązaniu Infoblox DDI
administratorzy sieci mogą szybko,
trafnie i precyzyjnie rozwiązywać
problemy, z którymi dotychczas się
borykali. Niejednokrotnie informatycy
podczas rozbudowy sieci o nową lokalizację lub centrum danych stawiali
sobie pytanie, czy na pewno istniejąca
w firmie infrastruktura obsłuży nowe
połączenia? Infoblox DDI dostarczy
precyzyjnych danych, które pozwolą
na uzyskanie odpowiedzi na powyższe
pytanie (rysunek 6). Tym samym
rozwiązanie DDI zapewnia działanie
aplikacji i usług biznesowych przed,
w trakcie i po dodaniu nowej lokalizacji
czy też centrum danych.
Rys. 4. Infoblox Grid - architektura
Rys. 5.
Infoblox Grid – schemat działania w przypadku awarii
Infoblox DDI posiada też wbudowane
zaawansowane narzędzia do raportowania, które mogą stać się przydatne
na przykład przy audycie DHCP, kiedy
pojawia się potrzeba sprawdzenia kto
w przeszłości miał przydzielany dany
adres IP (rysunek 7). Oszczędza to czas,
który administrator może poświęcić
na inne działania.
Korzyści wynikające z zastosowania rozwiązania Infoblox DDI:
Mocno skalowalne, bezpieczne, bezawaryjne rozwiązanie wysokiej dostępności (HA) do zarządzania usługami
DNS, DHCP i adresacji IP.
Scentralizowane zarządzanie i wsparcie dla sieci opartych o protokoły IPv4 i IPv6.
Pełne wsparcie dla wirtualizacji, integracja z VMware.
Wbudowane wsparcie dla DNS, DNS-SEC, DHCP, FTP, TFTP, HTTP, HTTPS i NTP.
Automatyczne przełączanie w przypadku awarii oraz zaawansowane mechanizmy odzyskiwania danych.
Scentralizowane zarządzanie współpracujące z Infoblox, Microsoft DNS i usługami DHCP.
Skuteczne wykrywanie adresacji sieci i zautomatyzowane zarządzanie adresami IP (IPAM).
Proste i szybkie zarządzanie konfiguracją całego systemu oraz jego aktualizacjami.
28
Integrujemy przyszłość®
Numer: III/2013 (124)
Istotną korzyścią, którą oferuje rozwiązanie firmy Infoblox jest zapewnienie
dost ępności kr ytyc znych us ł ug
sieciowych obecnie i w przyszłości.
Intensywność rozwoju firm powoduje
wzrost ich wymagań np. w zakresie
pojemności serwerów DNS. Dzięki
rozwiązaniu Infoblox DDI administrator może precyzyjnie kontrolować obciążenie usług sieciowych
między innymi takich jak serwer
DNS (rysunek 8), tym samym może
skutecznie przeciwdziałać awarią
i na bieżąco realizować wszelkie
zapotrzebowania rozwijającej się firmy.
Sprawdź czy wykorzystane zasoby sieci
powodują problem i czy trzeba
zwiększyć jej pojemność.
Skalowalność pod obsługę obecnego
i przyszłego środowiska dla usług
DNS / DHCP
Przewiduj skutki powiększenia
infrastruktury zanim będzie
za późno.
Podgląd każdego z serwerów DNS
Rys. 6. Planowanie
Co to jest Infoblox NetMRI?
NetMRI to wiodące rozwiązanie
automatyzacji sieci zawierających
urządzenia wielu producentów (mutli-vendor). Z setek wbudowanych reguł
i najlepszych praktyk, automatyzuje
zmiany w sieci i zarządzanie konfiguracjami. Infoblox NetMRI charakteryzuje się inteligentnym zarządzaniem
konfiguracjami urządzeń co zmniejsza
ryzyko błędu ludzkiego. NetMRI jest
kluczowym rozwiązaniem do zarządzania dynamicznymi i złożonymi
środowiskami sieciowymi i zapewnia
obsługę protokołu IPv6. Dzięki ścisłej
integracji z Infoblox DDI, użytkownicy
mogą korzystać z automatycznej
synchronizacji bazy IPAM i szybszego
wprowadzania zmian z użyciem
automatyzacji zadań.
Zmiany w sieci i analiza wpływu
zmian.
Infoblox NetMRI wykrywa i śledzi
wszystkie zmiany w sieci, w tym
kto co zmienił, gdzie i kiedy i jaki
wpływ miały te zmiany. Dodatkowo
ka żda histor yc zna konfiguracja
zostaje zapisana aby w łatwy sposób
side-by-side porównać wybrane
konfiguracje (rysunek 9). Automatyzacja obejmuje też wbudowane
zadania, skrypty i szablony konfiguracji, które pomogą w ułatwieniu
zmian wykonywanych na urządzaniach jednocześnie czyniąc je bezpieczniejszymi, ponieważ redukujemy
ryzyko ludzkiego błędu. NetMRI
wykorzystuje setki standradów
i najlepszych branżowych praktyk,
aby zrozumieć i wskazać wpływ
Szybkie definiowanie użytkowników
/ MAC / serwera.
Łatwe ustawienie filtra dla widoków
historycznych - ostatni tydzień
miesiąc lub konkretny zadany okres.
Generowanie raportu w ciągu
kilku sekund, aby uzykać
szczegółowe informacje.
Rys. 7.
Audyt DHCP
Szybkie definiowanie
problemów.
Obserwowanie anomalii, które mogą
mieć wpływ na szybkie
dziełanie usługi DNS.
Sprawdzanie poprawności zapytań
do serwera DNS (QPS).
Śledzenie zapytań na sekundy, aby
zobaczyć wzrost przyszłych
wymagań.
Rys. 8. Zapytania DNS
zmian zarówno na funkcjonowanie
sieci oraz jej zgodnoś ć . NetMRI
wykrywa zmianę i uzupełnia zautomatyzowaną analizę w celu określenia
Biuletyn Informacyjny SOLIDEX®
odchyleń od prawidłowej konfiguracji
i wskazuje luki, które mogą wpłynąć
na stabilnoś ć sieci. Dodatkowo
rozwiązanie Infoblox NetMRI jest
29
ROZWIĄZANIA
wyposażone w wyjątkową funkcjonalność jaką jest Punktacja Sieci, dzięki
której widzimy jak bezpieczna jest
nasza sieć w skali od 0-10 (rysunek
10). Punktacja jest wyliczana w czasie
rzeczywistym i przy każdej zmianie,
rekonfiguracji urządzeń widzimy jaki
wpływ na naszą sieć miały działania
administratora IT - pozytywny czy
negatywny.
Widok sieci
NetMRI oferuje narządzenia „Network
Dicovery”, które wykrywa urządzenia
w i e lu p r o du c e n t ó w i t w o r z y
na tej podstawie spis urządzeń oraz
aktualną topologię sieci. Przyjazna
dla użytkownika analiza schematu
połączeń oraz jej graficzna prezentacja
zapewniają bogaty zasób informacji
na temat sieci w organizacji, w tym
informacji o: VL AN-ach, tablicach
routingu, trasach, HSR P/ V R R P,
podsieciach, systemach operacyjnych
urządzeń i modelach.
Rys. 9. Widok wszystkich zmian w sieci
Automatyzacja zmian w sieci
Dzięki technologiom takim jak wirtualizacja czy też Cloud Computing,
sieci są coraz bardziej dynamiczne.
Mimo to wiele zespołów IT nadal
używa ręcznych sposobów dokonywania zmian na wielu urządzeniach,
co zwiększa ryzyko błędu. W rezultacie
powoduje to ograniczoną kontrolę
nad poprawnością zmian. NetMRI,
które obejmuje Change Manager
Automation, zawiera konfigurowalne
szablony do wykonywania podstawowych i złożonych zmian, pomaga
to zmniejszyć ryzyko błędu.
Rys. 10. NetMRI – zakładka z punktacją sieci
W idoc z no ś ć z aję t o ś c i por t ów
w przełącznikach
W wielu organizacjach występuje
problem ze świadomością zajętości
portów w poszczególnych urządzeniach. Dlatego dzięki funkcjonalności
Infoblox NetMRI może w czasie
rzeczywistym analizować zajętość
wszystkich portów w przełącznikach.
Dodatkowo w celu redukcji kosztów
i optymalizacji sieci mamy możliwość
analizy historycznej zajętości portów
na wybranych urządzeniach.
Rys. 11. NetMRI - widok topologi
30
Integrujemy przyszłość®
Numer: III/2013 (124)
Rys. 12. NetMRI – zakładka z widokiem zajętości portów
w przełącznikach
Rys. 13. NetMRI – zakładka z widokiem zajętości portów
w przełącznikach
Korzyści wynikające z zastosowania rozwiązania Infoblox NetMRI:
Wykrywanie i automatyzacja zmian w sieci. Informacje kto dokonywał zmian, gdzie, co zmienił, kiedy te zmiany
zostały wykonane oraz jaki miały wpływ na siec.
Dynamiczna inwentaryzacja i widok wszystkich urządzeń sieciowych, zależności między urządzaniami oraz
topologii.
Identyfikacja nieoptymalnej konfiguracji z inteligentną analizą.
Punktacja sieci.
Poprawienie zarządzania wykorzystaniem urządzeń.
W skrócie, NetMRI automatyzuje
sieć, oferuje pełny wgląd w czasie
rzeczywistym, kontrolę zarządzania
zmianami i konfiguracjami. Daje
też narzędzia, dzięki którym szybko
możemy wykrywać problemy, analizować ich wpływ na naszą sieć oraz
je rozwiązywać. Narzędzia Infoblox
DDI oraz NetMRI są stworzone
do obsługi dzisiejszych dynamicznych
i złożonych środowisk sieciowych,
w tym takich wyzwań, jak migracja
z protokołu IPv4 na IPv6, wirtualizacja
czy Cloud Computing.
Biuletyn Informacyjny SOLIDEX®
Opracowano na podstawie oficjalnych
materiałów producenta.
J.S.
Inżynier SOLIDEX
31
ROZWIĄZANIA
Cisco Unified Computing System
UCS – jak to działa?
Jeszcze do niedawna centra przetwarzania danych były budowane w oparciu
o serwery fizyczne z instalowanym dedykowanym natywnym systemem
operacyjnym. Taki model wymagał dużych nakładów poniesionych
na zagospodarowanie przestrzeni i zasobów w serwerowni. Przez zasoby
należy rozumieć przestrzeń fizyczną w szafach rakowych, ilość połączeń
oraz ilość wykorzystanej energii potrzebnej do zasilenia całej infrastruktury
serwerowej.
W celu oszczędzenia zasobów został
wprowadzony model serwerów
kasetowych. Cisco zmodyfikowało
architekturę blade wprowadzając
Unified Computing System (UCS),
aby była jeszcze bardziej oszczędna,
elastyc z na, a z apotr zebowanie
na moce chłodzenia pomieszczenia
serwerowego spadło. Rysunek 1,
przedstawiający porównanie rozwiązania Rack i Cisco UCS, daje nam
pogląd na rozmieszczenie urządzeń
w szafie rakowej, natomiast tabela 1
przedstawia korzyści, jakie daje nam
wykorzystanie rozwiązania typu blade.
Rozwiązanie takie pozwala na bardziej
efektywne i lepsze wykorzystanie
zasobów fizycznych, zwiększa również
elastyczność, wprowadza prostotę
zarządzania i konfiguracji połączeń.
32
Tradycyjny rack
Jedno wirtualne chassis
(od 1 do 160 serwerów blade)
2 x interconnects
2 x FC Switches
2 x Enet Switches
40 x Rack Managers
40 x Rack Servers
Rys. 1.
2 x FC Switches
2 x Enet Switches
2 x Rack Managers
for
40 Rack Servers
32 x
blade
servers
Porównanie rozwiązania Rack i Cisco UCS
Integrujemy przyszłość®
Numer: III/2013 (124)
Rozwiązanie Rack
W przypadku gdy chcemy dodać wiele
kart można skorzystać z ich szablonów.
Raz zdefiniowany szablon dowiązuje
się do service profilu, a UCS Manager
tworzy wszystkie potrzebne parametry.
Podobnie postępujemy w przypadku
kreowania kart HBA. Oczywiście tutaj
także można skorzystać z szablonów.
Jeśli w fizycznym serwerze zainstalowano dyski i chcemy z nich utworzyć
R A ID 1 , wys t arc z y ż e zos t anie
zmieniony parametr „Local Storage
Profile“ w UCS Managerze na RAID1,
a podczas następnego bootowania
systemu otrzymamy skonfigurowaną
macierz R AID. Bardzo wygodnym
rozwiązaniem jest także możliwość
aktualizacji firmware wszystkich
komponentów. Aby przejść do nowszej
wersji wystarczy załadować najnowszą
paczkę, wskazać co chcemy aktualizować, a UCS Manager rozpropaguje
najnowsze wersje na wszystkie serwery.
Jak było powiedziane na początku
ka żdy ser vice profile musi być
Rozwiązanie Cisco UCS
Powierzchnia
do 38% oszczędności
Energia potrzebna do zasilenia
do 23% oszczędności
Chłodzenie
do 23% oszczędności
Połączenia
mniejsza ilość okablowania, prostota połączeń
Tabela 1. Zalety rozwiązania Cisco UCS
UCS – Budowa Hierarchiczna
usługowy musi określać wszystkie
niezbędne parametry fizyczne, jakie
UCS Manager jest centralną aplikacją będą potrzebne do uruchomienia
służącą do zarządzania całym środo- fizyc znego ser wera . C o wa ż ne,
wiskiem blade. Aplikacja ta jest za pomocą odpowiedniego sprzętu,
przechowywana na każdym z urządzeń większość urządzeń jest wirtualizowana
z a r z ą d z a j ą c o - p r z e ł ą c z a j ą c y c h bez straty wydajności. Na przykład
tzw. „fabric interconnec”. Podczas jeśli chcemy, aby nasz serwer posiadał
implementacji środowiska UCS zaleca dwie karty sieciowe musimy je dodać
się wykorzystanie dwóch fabric ineter- do service profilu. Następnie należy
connectów, co pozwala na osiągnięcie podać adresy M AC , jakie bę dą
redundancji. Taka topologia umożliwia posiadały karty. Można to zrobić
wykorzystanie pełnej funkcjonal- manualnie – przy pełnej dowolności
ności produkcyjnej w przypadku definiowania – lub wykorzystując maski.
awarii jednego z interconnectów. Aby
utworzyć klaster należy spiąć dwa
UCS Manager
urządzenia dwoma portami dedykowanymi do tego celu, osadzonymi
na przednim panelu. Podczas pierwszego uruchomienia należy podać
IP dla każdego z urządzeń, a także
wirtualny adres IP, przez który uzyskuje
się dostęp do klastra. Zarządzać nim
można w trybie graficznym, logując
się na wirtualny adres przez przeglądarkę. Drugim sposobem jest wykorzystanie protokołu SSH. Wykorzystując
Fabric Extender
tę metodę mamy możliwość zalogowania się do klastra, jak również
na poszczególne urządzenia. Należy
pamiętać iż klaster funkcjonuje tylko
dla ruchu zarządzającego, natomiast
ruch produkcyjny jest realizowany
w oparciu o dwie niezależne matryce
przełączające, które pracują w trybie
redundantnym.
Blade Server
Fabric Interconnect
Blade Chassis
Service Profile – definicja
serwera
Cisco Unified Computing System
opiera się na konfiguracji definicji
serwera zwanego Service Profile
(profil usługowy), który następnie jest
przypisywany do serwera fizycznego
znajdującego się w chassis. Każdy profil
UCS Cards
Rys. 2.
UCS - budowa hierarchiczna
Biuletyn Informacyjny SOLIDEX®
33
ROZWIĄZANIA
RAID settings
Disk scrub actions
FC Fabric assignments for HBAs
SAN
Number of vHBAs
HBA WWN assignments
FC Boot Parameters
HBA firmware
QoS settings
Border port assignment per vNIC
NIC Transmit/Receive Rate Limiting
VLAN assignments for NICs
VLAN tagging config for NICs
LAN
Number of vNICs
PXE settings
NIC firmware
Advanced feature settings
Remote KVM IP settings
Call Home behavior
Remote KVM firmware
Server UUID
Serial over LAN settings
Boot order
IPMI settings
BIOS scrub actions
BIOS firmware
BIOS Settings
Rys. 3.
Service Profile - atrybuty
• Profile Name = vmhost-cluster1-1
• UUID = 12345678-ABCD-9876-5432-ABCDEF123456
• Description = ESX4u1 – 1st Host in Cluster 1
• LAN Config
vNIC0 Switch = Switch A
vNIC0 Pin Group = SwitchA-pingroupA
vNIC0 VLAN Trunking = Enabled
vNIC0 Native VLAN = VLAN 100
vNIC0 MAC Address = 00:25:B5:00:01:01
vNIC0 Hardware Failover Enabled = No
vNIC0 QoS policy = VMware-QoS-policy
vNIC1 Switch = Switch B
vNIC1 Pin Group = SwitchB-pingroupA
vNIC1 VLAN Trunking = Enabled
vNIC1 Native VLAN = VLAN 100
vNIC1 MAC Address = 00:25:B5:00:01:02
vNIC1 Hardware Failover Enabled = No
vNIC1 QoS policy = VMware-QoS-policy
• Local Storage Profile = no-local-storage
• Scrub Policy = Scrub local disks only
• SAN Config
Node ID = 20:00:00:25:B5:2b:3c:01:0f
vHBA0 Switch = Switch A
vHBA0 VSAN = VSAN1-FabricA
vHBA0 WWPN = 20:00:00:25:B5:2b:3c:01:01
vHBA1 Switch = Switch B
vHBA1 VSAN = VSAN1-FabricB
vHBA1 WWPN = 20:00:00:25:B5:2b:3c:01:02
• Boot Policy = boot-from-ProdVMax
Boot order =
- Virtual CD-ROM
- vHBA0, 50:00:16:aa:bb:cc:0a:01, LUN 00,
primary
- vHBA1, 50:00:16:aa:bb:cc:0b:01, LUN 00,
secondary
- vNIC0
• Host Firmware Policy = VIC-EMC-vSphere4
• Management Firmware Policy = 1-3-mgmt-fw
• IPMI Profile = standard-IPMI
• Serial-over-LAN policy = VMware-SOL
• Monitoring Threshold Policy = VMware-Thresholds
Rys. 4. Service Profile – obiekt XML
34
przypięty do fizycznego serwera,
aby można było korzystać z jego
zasobów. W celu ułatwienia zarządzania serwerami istnieje możliwość
tworzenia puli fizycznych serwerów,
do której dowiązujemy szablon profilu
usługowego. Wyobra źmy sobie,
że utworzyliśmy szablon serwera
dla usługi WWW. W puli serwerów
dowią zanych z tym szablonem
mamy obecnie 2 serwery. Gdy zajdzie
potrzeba dodania trzeciego serwera
z profilem usługi WWW, wystarczy
dodać kolejny serwer do puli serwerów
WWW, a UCS utworzy natychmiast
jego kolejną instancję. Oczywiście
istnieje możliwość uruchamiania
profilu usługowego na dokładnie
określonym fizycznym serwerze.
Rysunek 4 przedstawia konfigurację
profilu użytkowego serwera. Konfiguracja jest obiektem XML który jest
łatwy to podejrzenia. Gdy tworzymy
nowy szablon profilu musimy zdecydować, jakiego będzie rodzaju:
• Initial Template jest to szablon
do tworzenia nowego serwera
z szablonu. Po uruchomieniu i wykreowaniu serwera nie ma żadnego
powiązania pomiędzy szablonem
a ju ż d z ia ł ają c ym s er wer em .
W przypadku gdy dokonamy jakichkolwiek zmian w szablonie serwera
zmiany te nie będą się propagowały
Integrujemy przyszłość®
Numer: III/2013 (124)
na już działający serwer. Oczywiście
istnieje możliwość zmiany w sposób
manualny atrybutów w działającym
serwerze.
• Updating Template jest to szablon
do tworzenia nowego serwera.
Po uruchomieniu i wykreowaniu
serwera pozostaje powią zanie
pomiędzy szablonem a działającym
serwerem. Wszystkie wprowadzone zmiany są propagowane
na wszystkie serwery, jakie zostały
utworzone z tego szablonu. Gdy
administrator wprowadzi zmiany
do szablonu musi zdecydować czy
zmiany mają być wprowadzone
natychmiast, czy chce je zaimplement owa ć w z aplanowanym
oknie serwisowym. Jest to ważne
gdyż zmiany zaczną obowiązywać
dopiero po powtórnym uruchomieniu serwera. Zazwyczaj proces
powtórnego uruchomienia serwera
zajmuje do 20 minut.
Fabric Interconnect jest to część
systemu UCS będąca punktem styku
pomiędzy UC S a zewnętrznymi
urządzeniami wymagającymi dostępu
do serwerów. Dzięki zastosowaniu
technologii zunifikowanych portów
możemy dołączać do niej urządzenia,
które wykorzystują różne rodzaje protokołów (o tym jakie decyduje wkładka
SFP+ jaką obsadzimy dany port).
Jesteśmy w stanie uzyskać komunikację dla Native Fiber Channel (FC),
1/10GbE, FCoE, iSCSI, NAS. Oczywiście
FC
Rys. 5.
Eth
Fabric Interconnect zunifikowane porty
istniej możliwość agregacji portów
i tworzenia portów Etherchannel lub
SanPortchannel, co pozwala na zwiększenie przepustowości.
Projektując topologie UCS należy
pamiętać o tym, że porty są licencjonowane wyłącznie na ilość aktywnych
por tów w danym c zasie, rodzaj
protokołu nie ma znaczenia.
Drugą funkcję, jaką pełni Fabric Interconnect, jest zapewnienie łączności
z modułem Fabric Extender, który jest
zainstalowany w chassis kasetowym
(blade). W celu zapewnienia redundancji i agregacji portów, zaleca się
podłączenie co najmniej dwoma
linkami. Każdy z linków zapewnia
10 Gbit/s Ethernet z obsługą ruch
FCoE. Ilość linków zależy od modelu
Fabric Extendera, jakim obsadzimy
chassis. Istnieją modele 4 i 8 portowe.
W zależności z ilu linków skorzyst amy, zapewnimy sumar yc zną
pr z epus t owo ś ć do ws z ys t k ic h
serwerów obsadzonych w chassis.
Cały ruch data oraz ruch zarządzający
z serwerów jest przenoszony tymi
połączeniami do Fabric Interconnecta,
gdzie podejmowana jest decyzja, w jaki
sposób obsłużyć ruch. Dla protokołu
FC jest wykonywana enkapsulacja
w FCoE na wyjściu z karty sieciowej
serwera, następnie ramka jest transportowana do Interconnecta, gdzie zostaje
podjęta decyzja, czy jest potrzeba
dekapsulacji do postaci FC czy też ruch
dalej ma być obsługiwany w postaci
FCoE do urządzeń zewnętrznych.
Gdy planujemy topologię UC S ,
należy pamiętać, iż porty na interkonekcie wykorzystane do połączenia
z extederem należy licencjonować jak
pozostałe porty zunifikowane.
Architektura Vm-Fex
Dzięki zastosowaniu Vm-Fex porty
sieciowe, które zostały utworzone
w profilu us ł ugowym ser wera,
są wykorzystane bezpośrednio przez
DCB Ethernet
Zarządzanie serwerami
Kanały (KVM, USB,
CDROM, Adaptery)
Poszczególne łącza
Ethernet
Poszczególne łącza Storage
(iSCSI, NFS, FC)
Rys. 7.
Rys. 6. Kabel Twinax
Biuletyn Informacyjny SOLIDEX®
Architektura Vm-Fex
35
ROZWIĄZANIA
maszynę wirtualną. Innymi słowy
maszyna wirtualna jest podłączona
bezpośrednio do hardware serwera,
co pozytywnie wpływa na jego
wydajność. Rysunek 7 przedstawia
topologię rozwią zania z zaznaczonymi wirtualnymi portami, które
są wyniesione do warstwy fizycznej.
Takie rozwiązanie pozwala na uproszczenie konfiguracji i przeniesienie
decyzji o obsłudze ruchu z CPU hosta
do warstwy fizycznej, a tym samym
poprawia wydajnoś ć działania.
Co więcej, to rozwiązanie wpływa
również na poprawę bezpieczeństwa
poprzez zastosowanie Vlanów w celu
separacji ruchu. Separacja ruchu z kolei
pozwala na poprawę wydajności
zmniejszając wielkość domeny rozgłoszeniowej. Należy pamiętać iż Vm-Fex
może pracować w dwóch trybach.
Pierwszy z nich to „Standard Mode”.
W tym trybie ruch z wirtualnych
serwerów przechodzi przez hypervisor.
Drugim trybem pracy jest „Direct Path”,
w którym ruch z wirtualnych serwerów
omija hypervisora, co pozwala na zwiększenie wydajności I/O do 30 procent.
Fabric Extender
2 Fabric Extendery
8 Wentylatorów
4 wejścia AC
8 - serwery half lenght
4 - serwery full lenght
4 zasilacze
Rys. 9. Obudowa serwerów - chassis
najwyżej 8 x 10 Gbit /s, co daje
sumarycznie 80 Gbit/s do wszystkich
serwerów.
B22M3, B200M3, B220M2) lub 4
serwerami full lenght (B420M3,
B440M2). Dopuszczalne są również
konfiguracje mieszane czyli np. sześć
Blade Chassis
serwerów B220M2 i jeden serwer typu
full B420M3. Do środowiska UCS typu
Obudowa składa się z 2 Fabric Exten- lbade można także podłączyć serwery
derów, które połączone są z inter- typu rack, które dołącza się do interconnectem za pośrednictwem kabli connectów. Takie rozwiązanie pozwala
Twinax. Wszystkie wentylatory można na zarządzanie wszystkimi typami
wymieniać w trakcie pracy urządzenia serwerów z jednego centralnego
(hot-swap). Obudowę można obsadzić miejsca, jakim jest UCS Manager.
8 serwerami half lenght (modele
10GbE/FCoE
Rys. 8. Fabric Extender 2208XP
Jest to moduł instalowany w obudowę
serwerów. Zadaniem modułu jest
po ł ąc zenie chassis, gdzie inst alowane są fizyczne serwery, z interconnectem, w którym zlokalizowana
jest logika i zarządzanie środowiskiem
UCS. Rysunek 8 przedstawia model
8 portowy. W przypadku zastosowania
tego modułu mamy do wykorzystania
8 linków 10 Gbit/s. Maksymalnie
każdą obudowę serwerów możemy
obsadzić dwoma takimi urządzeniami. Jeśli zastosujemy model 2208
otrzymujemy 16 x 10 Gbit/s, co daje
łącznie 160 Gbit/s przepustowości
do wszystkich serwerów w jednym
chassis. Istnieje również model 2104XP,
który pozwala na wykorzystanie
maksymalnie 4 portów. Decydując
się na ten model możemy uzyskać
36
{
Eth
FC
0
1
FC
Eth
3
127
Interfejsy wirtualne
definiowane w UCS
Manager
2
Wirtualna karta sieciowa
Rys. 10. Wirtualizacja karty sieciowej
Integrujemy przyszłość®
Numer: III/2013 (124)
Wirtualizacja fizycznej karty
sieciowej
Ser wer y typu blade wymagają
instalacji karty rozszerzeń. Karty
te inaczej są nazywane „mezzanine”.
Dzięki zainst alowanym kar tom
serwer komunikuje się z pozostałymi
urządzeniami. Model karty o symbolu
UC S1280 pozwala na utworzenie
do 256 kart wirtualnych, zaś model
M81KR – do 128. Po obsadzeniu
serwera jedną z wymienionych kart
administrator może wykreować
(wykorzystując UCS Managera) karty
PCIe, które widziane są przez system
operacyjny na serwerze jako osobne
karty fizyczne. Wirtualizacja kart jest
dostępna dla sieci SAN, karty HBA,
które wykorzystują do komunikacji
FC, a także dla sieci Ethernet karty
NIC . C ał y ruch Ethernet , który
wychodzi z wirtualnych kart trafia
do interconnecta, gdzie zostaje podjęta Opracowano na podstawie oficjalnych
decyzja, w jaki sposób ma zostać materiałów producenta.
obsłużony ruch. W odmienny sposób
M.W.
jest traktowany ruch w sieci SAN, ruch
Inżynier SOLIDEX
FC zostaje enkapsulowany w FCoE
i przesłany do interconnecta, który
podejmuje decyzję, jak obsłużyć ruch.
Gdy chcemy wykorzystać wirtualizację
kart HBA musimy podać mapowanie
numeru VLAN do przenoszenia ruchu
FC dla konkretnego VSAN. Zaleca
się, aby VL AN-y, które przenoszą
ruch FC, nie były wykorzystywane
w czę ści sieciowej poza środowiskiem UCS. Zastosowanie wirtualnych
kart sieciowych pozwala na wysoką
elastyczność środowiska i budowę
topologii w praktyce nieograniczonych.
Jeśli zajdzie potrzeba dodania nowych
kart NIC lub kart HBA, wystarczy
dodać je w UCS Managerze, a system
operacyjny rozpozna je jako nowe
urządzenia.
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
Biuletyn Informacyjny SOLIDEX®
szczegóły na str. 47
37
ROZWIĄZANIA
Współczesne ataki DDoS oraz
metody zapobiegania ich skutkom.
Google, Microsoft, Apple, PayPal, Visa, MasterCard… wiele spośród
największych witryn świata padło ofiarą ataków DDoS (ang. DistributedDenial-of-Service, czyli rozproszona odmowa usługi), przeprowadzanych z wielu
komputerów jednocześnie. Ich głównym celem było doprowadzenie do sytuacji,
w której zasoby zaatakowanych witryn staną się niedostępne dla użytkowników.
W ostatniej dekadzie liczba ataków DDoS zwiększyła się znacząco, a stojące
za nimi motywacje ewoluowały.
Pierwszy rozproszony atak na dużą skalę
(DDoS) miał miejsce w 1999 roku i był
skierowany przeciwko serwerowi IRC
Uniwersytetu Minnesoty. Zainfekowanych zostało 227 komputerów, a atak
sprawił, że serwer uniwersytecki stał się
bezużyteczny na dwa dni.
Od tamtej pory techniki oraz motywy
przeprowadzanych ataków rozwijały
się. O ile na początku historii DDoS
to młodzieńczy bunt i przekora
popychały hakerów vdo działania,
to od ok. 2005 roku ataki DDoS
są wpisane w przestępczy biznes internetowy oraz działalność haktywistów,
a wykorzystywane do nich narzędzia
trudno nazwać amatorskimi.
W grudniu 2010 roku zwiększyły się
naciski na WikiLeaks, aby witryna
przestała publikować tajne depesze
amerykańskiej dyplomacji. W odpowiedzi
na nie grupa Anonymous ogłosiła swoje
38
poparcie dla WikiLeaks i w ramach tzw.
Operacji Payback przypuściła serię
ataków DDoS na serwery takich firm,
jak Amazon, PayPal, MasterCard i Visa.
Ataki te doprowadziły do zawieszenia
witryn firm MasterCard i Visa.
Narzędzie, z którego korzystano przy
atakach grup Anonymous/WikiLeaks,
to program o nazwie Low Orbit
Ion Cannon (LOIC). Mimo że jest
to rozwiązanie open source stworzone
z myślą o testowaniu aplikacji internetowych pod kątem obciążeń, w tym
przypadku zostało wykorzystane
do przeprowadzenia ataku DDoS.
W 2010 roku wielkość przeprowadzanych ataków radykalnie się zwiększyła, po raz pierwszy przekraczając
barierę 100 Gb/s, czyli około 22 tysiące
razy tyle, co przeciętna przepustowość
łącza dostępna wtedy dla zwykłego
użytkownika Internetu w USA.
Integrujemy przyszłość®
2012 i później: nasilenie
ataków w warstwie aplikacji
Co prawda istnieje wiele różnych
metod ataków DDoS, jednak można
wyodrębnić wśród nich dwie kategorie:
• ataki wolumetryczne: ataki typu
flood (ang. powódź) intensywnie
obciążają przepustowość i infrastrukturę sieci (np. UDP, TCP SYN,
ICMP);
• at ak i w war s t wie aplik ac ji:
ataki te są tworzone pod kątem
określonych usług, tak by wyczerpać
ich zasoby (H T T P, DNS , SIP ).
Poniewa ż zuż ywają one mniej
pasma, trudniej jest je wykryć .
Idealna sytuacja do przeprowadzenia
ataków DDoS w warstwie aplikacji
występuje wtedy, gdy wszystkie inne
usługi pozostają nienaruszone, a sam
serwer jest zupełnie niedostępny.
Numer: III/2013 (124)
Zgodnie z tym podejściem powstało
oprogramowanie Slowloris, które
jest stosunkowo trudno wykrywalne
w porównaniu z większością narzędzi
do ataków typu flood.
Według informacji firmy Stratecast
liczba ataków DDoS zwiększa się
o 2 0 % - 45 % roc znie, pr zy c zym
wzrosty liczby ataków w warstwie
aplikac ji s ą trzyc yfrowe. Trend
wzrostu dynamiki ataków DDoS
w tym obszarze jest wyraźny i mało
prawdopodobne jest, by się odwrócił.
Nie jest to jednak oznaka tego, że ataki
wolumetryczne w warstwie sieciowej
lub transportowej zanikną. Wręcz
przeciwnie – obydwa rodzaje ataków
będą się łączyć zyskując na sile. Jak
wynika z raportu firmy Verizon z 2012
roku o dochodzeniach w sprawie utraty
danych (2012 Verizon Data Breach
Investigations Report), wiele zaawansowanych ataków DDoS w warstwie
aplikacji, kryjących się za atakami
wolumetrycznymi, wykorzystano
do przysłonięcia prób kradzieży
danych. Jest to dowód na to, że ataki
wielowektorowe są już używane
do ukrycia ich faktycznego celu.
mistrzostw świata w piłce nożnej).
Urządzenia mobilne jak
smar tfony c zy tablety stają się
coraz bardziej powszechne. Wraz
z zalewem rynku przez te urządzenia,
się zasobów oraz umieszc zenie
dedykowanych rozwiązań w miejscu,
gdzie będą proaktywnie chronić
i wykrywać potencjalne ataki lub
niedobory zasobów. Drugą metodą
Celem ataku DDoS jest wygenerowanie na serwerze ofiary ruchu
o ogromnym natężeniu, który spowoduje przeciążenie systemu
i uniemożliwi mu obsługę autentycznych zapytań. Według
informacji firmy Stratecast liczba ataków DDoS zwiększa się
o 20%-45% rocznie, przy czym wzrosty liczby ataków w warstwie
aplikacji są trzycyfrowe.
Laboratoria FortiGuard zaobser- jest znalezienie i analiza możliwych
w o w a ł y w z m o ż o n y n a p ł y w luk w systemie. Tak jak słabe punkty
złośliwego oprogramowania dla są często wykorzystywane do przepronich przeznaczonych. Urządzenia wadzenia ataków hakerskich, tak samo
mobilne stają się celem wielu twórców w łatwy sposób mogą zostać wyelibotnetów i niedł ugo bę dziemy minowane lub zabezpieczone przed
świadkami pierwszych udanych zagrożeniami.
prób czerpania przez nich zysków. Żeby lepiej się bronić przed atakiem
Efektem może być defraudacja
opłat za połączenia i usługi
Botnet – technologia
Premium SMS lub wyłudzanie
w służbie cyberprzestępców. okupów przez oprogramowanie
ransomware.
W najprostszej postaci botnet jest Innym ciekawym zjawiskiem
grupą komputerów zainfekowanych zaobserwowanym w ciągu
z ł o ś liwym opr og r a mowa nie m ostatnich lat przez Laboratoria
(malware), k tóre daje swojemu FortiGuard są botnety dobrozarządcy określony poziom kontroli wolne, w których użytkownicy
nad zainfekowaną maszyną. Każdy świadomie instalują botnet
botnet – a działają ich obecnie tysiące na swoich komputerach. Organi– jest wykorzystywany przez swoich zacje takie jak Anonymous
zarządców do realizacji różnych niele- dystrybuują do szerokiej grupy
galnych działań bez wiedzy właścicieli programistów i zwolenników
komputerów. Raz zarażony komputer ruchu narzędzia umożliwiające
staje się nieświadomym „zombie”, r ealiz ac ję at aków sk ier o gotowym wykonać każde polecenie wanych przeciwko firmom lub
swojego „pana”.
organizacjom rządowym. Ten
Celem ataku DDoS jest wygenerowanie rodzaj dobrowolnej rekrutacji
na serwerze ofiary ruchu o ogromnym nazywany jest haktywizmem.
natężeniu, który spowoduje przeciąż e nie s y s t e mu i u nie m o ż liw i Jak uchronić się przed
mu obsługę autentycznych zapytań. skutkami ataków
Powszechnie stosowaną techniką DDoS?
jest uruchomienie bardzo krótkiego
ataku, w celu wymuszenia „ochrony” Istnieje wiele metod zapobieprzed kolejnym, bardziej intensywnym gania atakom DDoS, które
atakiem. Pewne strony tematyczne pozwalają na utr zymanie
są szczególnie narażone na takie ataki ciągłości usługi. Pierwszą z nich
podczas kluczowych dla nich wydarzeń jest świadomość, że istnieje Rys. 1. Analiza ruchu wykonywana przez
FortiDDoS.
(np. s t r ony spor t owe podc z a s możliwość wyczerpywania
Biuletyn Informacyjny SOLIDEX®
39
ROZWIĄZANIA
Rys. 2. Struktura wewnętrzna FortiAsic-Traffic Processor (TP).
Rys. 3.
Przykład monitorowania wykrytych ataków.
DDoS, należy zrozumieć, w jaki sposób
on przebiega. Ten typ ataku jest często
mylony – i nie jest to przypadek –
z awarią systemu. Wynika to z faktu,
że zanim zdążymy podjąć jakiekolwiek
działania mające na celu jego wykrycie,
DDoS ustępuje bądź zostaje czasowo
zawieszony, a to uniemożliwia przeprowadzenie skutecznego dochodzenia.
Ataki DDoS często ukryte są pośród
innych ataków i posiadają specjalne
me c ha ni z my ic h wyk r ywa nia
ora z podejmowania dec yzji,
w jakich okolicznościach kontynuować,
a w jakich wstrzymać swoje działanie.
O ile ataki wolumetryczne są możliwe
do powstrzymania na brzegu sieci
operatora, o tyle ataki o mniejszej
przep ł ywności, ale nast awione
na wyczerpanie zasobów platform
świadczących usługi, wymagają stosowania mechanizmów ochrony w sieci
organizacji. Jedną z technik, którą
może zastosować zarówno operator,
jak i departament IT są usługi reputacyjne, czyli blokowanie połączeń
z określonych podsieci IP, a nawet
40
państw. Dost ępne technologie
bezpieczeństwa firewall/IPS działają
na zasadzie ograniczenia dostępu
przez blokowanie „złego” ruchu
blokując jednak także „legalny” ruch.
Urządzenia te są często systemami
„stanowymi”, czyli przetwarzającymi
wszystkie sesje. W związku z tym same
mogą stać się celem ataków. Celem
ochrony przed DDoS powinno być
utrzymanie dostępu do usługi.
Badania rynku i środowiska Internetu
przez specjalistów Fortinet wskazują
zmieniające się trendy w wielkości
ataków DDoS. Okazuje się, że mniej
niż 10% ataków ma wolumen ponad
10Gbps, a ponad 75% to ataki poniżej
1Gbps.
Tradycyjne metody ochrony przed
DDoS stosowane przez operatorów
s ą skoncentrowane na at akach
wolumetrycznych. Jeżeli przeanalizujemy te metody i związane z nimi
okoliczności, to możemy zauważyć, że:
• Operatorzy limitują ruch przed
wysłaniem go do swoich klientów.
• Więk szoś ć at aków u ż ywa
fałszywych adresów i uniemożliwia
powtrzymanie ruchu od określonych
sieci.
• Czas reakcji na rozpoczęty atak mieści
się w zakresie 10 minut do 4 godzin.
• Wymagana jest modyfikacja list
dostępu lub rekonfiguracja routingu,
często przy zaangażowaniu pracy
ludzi.
Najszybciej rosnącą metodą ataków
są ataki w warstwie aplikacji. Aby
skutecznie usunąć zagrożenie dla usług,
rozwiązanie ochronne powinno:
• Stosować analizę behawioralną oraz
heurystyczną.
• Wykrywać małe celowane ataki.
• W yk or z y s t yw a ć t e c hnolog ie
spr z ę t owe w c elu spr os t ania
wymaganiom wydajnościowym.
• Automatyczne powstrzymywać
„zły” ruch przy zezwoleniu na ruch
„legalny”.
Rys. 4. Implementacja FortDDoS z FortiBridge pełniącym funkcję bypass.
Integrujemy przyszłość®
Numer: III/2013 (124)
Rys. 5.
Implementacja klastra FortDDoS z zapewnieniem synchronizacji sesji.
wykrywania podszywania się (ang.
spoofing’u) oraz analizę heurystyczną
i behawioralną. Metody zliczania
połączeń http umożliwiają śledzenie
parametrów typu: User-Agent, Host,
Cookie, Referer. Podejmowane decyzje
są często weryfikowane (blokowanie
nie dłużej niż 15s) w celu uniknięcia
fałszywego rozpoznania ataku (ang.
false positive).
FortiDDoS posiada rozbudowane
mechanizmy integracji z systemami
zarządzania oraz wbudowane funkcje
monitorowania. Na rysunku nr 3
wykryte ataki zostały oznaczone
róż nymi kolorami w zależ ności
od przyczyny ataku.
Typowe wdr o ż enie F or t iDDo S
na brzegu sieci organizacji przewiduje
zastosowanie mechanizmu bypass
np. FortiBridge (rysunek 4).
Ochrona styku z Internetem może
wykorzystywać dwa urządzenia
FortiDDoS synchronizujące wzajemnie
stan sesji. Dzięki temu dopuszczalny
jest routing asymetryczny oraz bezproblemowa redundancja łącza.
Implementacja w datacenter zakłada
zewnętrzne balansowanie ruchu
za pomoc ą loadbalanserów lub
przełączników.
Najwydajniejsze dostępne obecnie
urządzenie For tiDDoS zapewnia
ochronę na poziomie ruchu 3 Gbps
w obu kierunkach. W przygotowaniu
na rok 2013 są modele o większej
wydajności oraz wyposażone w interfejsy 10GE. Więcej informacji o serii
produktów FortiDDoS można uzyskać
na stronie internetowej producenta
– Fortinet.
http://www.fortinet.com/products/
fortiddos/index.html
Rys. 6. Implementacja FortDDoS z zewnętrznym balansowaniem ruchu.
Rozwiązanie takie musi być świadome
chronionych usług oraz ich priorytetów. Konfiguracja urządzenia
powinna dać mu szansę dostosowania
polityki do priorytetów biznesowych
organizacji. Każdy zasób jest wyczerpywalny, dlatego rozwiązanie ochronne
powinno być skalowalne.
Rozwiązanie FortiDDoS wykonuje
sprzętowo funkcje ochrony przez
atakami DDoS, stosując analizę
we wszystkich warstwach. Korelacja
ruchu produkcyjnego z wzorcem
Inżynier Fortinet
„legalnego” ruchu, analiza anomalii
protokołów, wykrywanie ataków
w warstwie aplikacji pozwalają
na zabezpieczenie sieci organizacji
w czasie rzeczywistym.
Rdzeniem FortiDDoS jest FortiAsic-Traffic Processor ( TP ), który
zapewnia partycjonowanie (wirtualizację) rozwiązania oraz sprzętową
analizę ruchu. Co więcej, pozwala
on na zliczanie ruchu oraz prób nawiązywanych połączeń od warstwy
sieciowej poprzez transpor tową
do warstwy aplikacji, stosuje metody
Biuletyn Informacyjny SOLIDEX®
41
ROZWIĄZANIA
Catalyst 3850 – nowa seria
przełączników dostępowych Cisco
Dotychczasowa strategia projektowania sieci opierała się zazwyczaj
na osobnym podejściu dla sieci przewodowych oraz bezprzewodowych.
Intensywny rozwój technologii mobilnych spowodował przejście w stronę
koncepcji, która ma na celu połączenie obu tych sieci w jedno rozwiązanie.
Pomysł ten realizowany jest przez firmę Cisco w ramach rozwiązania Cisco
Converged Access, które pozwala przede wszystkim na osiągnięcie większej
przepustowości w sieciach bezprzewodowych oraz na ujednolicenie polityk
bezpieczeństwa i jakości usług. Jednym z pierwszych produktów należących
do Cisco Converged Access jest rodzina przełączników Cisco Catalyst 3850, które
są następcą popularnych 3750-X.
Seria Catalyst 3850 to stackowalne
pr ze ł ąc znik i dost ę powe nowej
generacji które umożliwiają obsługę
sieci przewodowej oraz bezprzewodowej na jednej platformie. Opierają się
one o nowy układ Cisco ASIC-UADP
(Unfied Access Data Plane) pozwalający na przetwarzanie ruchu z obu
tych sieci, przy jednoczesnym zachowaniu wysokiej wydajności i skalowalności. Switche wyposażone zostały
we wbudowany kontroler WL AN,
który zapewnia wydajność do 40G
dla modeli 48 portowych oraz wspiera
do 50 access point’ów i 2000 klientów.
Przełączniki te mogą posiadać 24 lub
48 portów Ethernet 10/100/1000
oraz występować w wersji PoE+.
42
Rys.1.
Cisco Catalyst 3850
Integrujemy przyszłość®
Numer: III/2013 (124)
WS-C3850-24T
Total 10/100/1000
Ethernet Ports
24
WS-C3850-48T
48
Models
WS-C3850-24P
24 PoE+
WS-C3850-48P
48 PoE+
WS-C3850-48F
48 PoE+
Default AC Power
Supply
350WAC
Available PoE
Power
-
715WAC
435W
1100WAC
800W
StackPower
Yes
Tabela 1. Poszczególne konfiguracje switchy 3850
Tabela 1 przedstawia dostępne konfiguracje modeli przełączników z serii 3850.
Standardowa konfiguracja nie zawiera
uplinków sieciowych. Do każdego
urządzenia można doinstalować
wybrane moduły sieciowe z portami
uplink. Istnieją trzy różne moduły
sieciowe, w które można wyposażyć
przełącznik:
• 4 portowy Gigabit Ethernet SFP,
• 2 portowy 10 Gigabit Ethernet SFP+,
• 4 portowy 10 Gigabit Ethernet SFP+
(tylko dla modeli 48 portowych).
Interfejsy SFP+ wspierają zarówno
wkładki optyczne 10 Gigabit Ethernet,
jak i Gigabit Ethernet. Tabela 2 przedstawia wszystkie możliwe kombinacje
wykorzystania portów dla poszczególnych modułów sieciowych.
Tak jak w przypadku innych przełączników, Cisco Catalyst 3850 wyróżnia
trzy typy licencji:
Network Module
• IP Base—zapewnia funkcjonalności
drugiej warstwy oraz podstawowe
funkcje warstwy trzeciej. Do najważniejszych można zaliczyć : listy
kont r oli dos t ę pu , opc je Qo S ,
routing statyczny, EIGRP, PIM, RIP,
podstawowy IPv6 oraz wsparcie
dla bezprzewodowego kontrolera
sieci WLAN;
• IP Services —najbardziej rozszerzona
wersja licencji. Zapewnia bogaty
zestaw inteligentnych usług oraz
pełne wsparcie dla IPv6. Licencja
zawiera wszystkie funkcjonalności
IP Base oraz dodatkowo pełną
funkcjonalność warstwy trzeciej
(IP unicast routing, IP multicast
routing oraz fallback bridging ).
IP S er vic es uwzglę dnia t ak ie
protokoły, jak EIGRP, OSPF oraz
wsparcie dla bezprzewodowego
kontrolera sieci WLAN.
nowymi cechami w porównaniu
do ich poprzedników. W dalszej części
zostały przedstawione najważniejsze
funkcjonalności.
Architektura Converged Access
Przede wszystkim zwraca uwagę
nowa a r c hit ek t ur a C onver ge d
Access. Umożliwia ona połączenie
funkcji przełącznika oraz kontrolera
WLAN w jednym urządzeniu. Bezpośrednim powodem wprowadzenia
tego rozwiązania jest znaczący wzrost
r uchu w sieciach W L A N, k tór y
niejednokrotnie nie był widoczny dla
mechanizmów QoS. Standardowy
kontroler siec i W L A N pozwala
na przydzielanie kanałów radiowych
(RR M). Odpowiada za poziomy
sygnałów, wykrywanie niebezpieczeństw ( WiP S) oraz za analizo-
Interface Options
10 Gigabit Ethernet SFP+ Ports
Gigabit Ethernet SFP Ports
4 x Gigabit Ethernet
0
4
4 x Gigabit Ethernet/2 x10 Gigabit
Ethernet network modules
2
0
0
4
1
2
4
0
0
4
4 x Gigabit Ethernet/4 x10 Gigabit
Ethernet network modules
2
2
3
1
1
3
Tabela 2. Konfiguracje modułów sieciowych switchy 3850
• LAN Base—zapewnia podstawowe
funkcje warstwy drugiej, włącznie
z listami kontroli dostępu ACL
i op c j ą Q o S or a z wsp a r c iem
do 255 VLANów;
Nowe funkcje w switchach
3850
Przełączniki Cisco Catalyst 3850
charak ter yzują się wieloma
Biuletyn Informacyjny SOLIDEX®
wanie obcych punktów dostępowych
i proces roamingu. Funkcjonalności
te można podzielić na dwa obszary
zastosowania: Mobility Agent oraz
Mobility Controller. Przełączniki
43
ROZWIĄZANIA
Cisco Catalyst 3850 mogą działać
jako bezprzewodowy kontroler w obu
tych trybach:
• Mobili t y A ge nt ( M A ) – je s t
t o d o my ś lny t r yb d la C i s c o
Catalyst 3850. Przełącznik w tym
trybie jest zdolny do terminacji
t u n e l ó w C A P WA P z A c c e s s
Point ’ów oraz do zapewnienia
łączności z klientami bezprzewo-
Dla małych rozwiązań (do 50 punktów
dostępowych oraz czterech przełączników w stosie) switche mogą
pracować w obu trybach MA oraz MC.
Bardziej rozbudowana infrastruktura
wymaga rozdzielenia tych funkcjonalności i wówczas na kontrolerze
pozostają funkcje MC, a na switcha
3850 można przenieść funkcjonalności
MA. Zastosowanie takiego podejścia
Flexible NetFlow (FNF)
Flexible NetFlow pozwala na identyfikowanie ruchu w sieci w celu
wykrywania potencjalnych zagrożeń
i podejmowania działań naprawc z ych w war stwie dost ę powej.
FNF monitoruje każdy przepływ
w stosie przełączników dla użytkowników przewodowych i bezprzewodowych oraz pomaga egzekwować
o dp owie dni ą p oli t yk ę r e z e r w
przepustowości. Rozwiązanie FNF
pojawia się pierwszy raz dla sieci
bezprzewodowych.
Architektura QoS
Rys.2.
Mobility Agent (MA) oraz Mobility Controller (MC)
dowymi. Umożliwia on również
zarządzanie bazą klientów oraz
eg zekwowanie polityk bezpieczeństwa i QoS.
• Mobility Controller (MC) – w tym
trybie przełącznik Cisco Catalyst
3850 może wykonywać wszystkie
zadania związane z takimi funkcjonalnościami, jak roaming, RRM,
WIPS oraz zarządzanie spektrum.
MC może zostać włączony poprzez
wiersz poleceń przełącznika.
44
pozwala na uproszczenie polityk
bezpieczeństwa, QoS czy diagnostyki i monitoringu sieci. Powoduje
również wzrost przepustowości dla
sieci bezprzewodowej, ponieważ
całkowita skalowalność znacząco
rośnie. Do zalet można zalic zyć
również to, że zachowany zostaje
dodatkowy punkt do zarządzania
na kontrolerze, gdyż switche 3850
przejmują część funkcji związanych
z sieciami bezprzewodowymi.
Integrujemy przyszłość®
Przełączniki Cisco Catalyst 3850
posiadają zaawansowane funkcjonalności QoS, które wynikają z zastosowania architektury Converged
Access. Urządzenia wspierają interfejs
MQC (Modular QoS Command line
interface). Do nowych cech jakimi
odznacza się funkcja QoS switchy
3850 można zaliczyć:
• Hierarchiczne zarządzanie pasmem
(HBM);
• Mechanizm AFD (Approximate
Fair Drop) – pozwala na równomierny podział pasma w bezprzewodowej sieci pomiędzy wszystkich
użytkowników;
• Tworzenie wspólnych polityk dla
użytkowników oraz sieci SSID.
Przełączniki serii 3850 mogą realizować CoS (class of service) oraz DSCP
(differentiated services code point),
które oparte są na kolejkowaniu,
nadzorowaniu, kształtowaniu i znakowaniu przewodowego i bezprzewodowego ruchu sieciowego. Umożliwia
to tworzenie wspólnych polityk dla
przewodowych i bezprzewodowych
sieci. Przełączniki 3850 obsługują
także polityki powiązane z ISE.
Bezpieczeństwo
Przełączniki Cisco Catalyst 3850
udostępniają bogaty zestaw funkcji
bezpieczeństwa dla użytkowników
przewodowych oraz bezprzewo dowych. Funkcjonalności takie jak
IEEE 802.1x, DHCP, IP Source Guard,
ochrona warstwy sterowania czy
bezprzewodowy system zapobiegania włamaniom WIPSs (Wireless
Int r u sion P r event ion S ys t em)
Numer: III/2013 (124)
pozwalają na ochronę przed nieautoryzowanym dostępem i zagrożeniami. Switche 3850 mają możliwość
obsługi różnorodnych sesji rozpoznając użytkowników przewodowych
i bezprzewodowych łączących się
z siecią. Każde urządzenie podłączone
do sieci identyfikowane jest jako jedna
sesja, a unikalne listy kontroli dostępu
ACL oraz polityki QoS mogą być zdefiniowane poprzez zastosowanie ISE dla
każdej z tych sesji. Zapewnia to lepszą
kontrolę podłączonego sprzętu.
Technologia StackWise-480
Technologia Cisco StackWise-480
t o roz wią z anie , k t óre poz wala
na łączenie przełączników w stos.
Do głównych zmian w porównaniu
z wcześniejszymi wersjami można
przede wszystkim zaliczyć większą
przepustowość stosu, która w tym
przypadku wynosi 480 Gbps. Inna
jest również koncepcja działania stosu
oraz tryb jego pracy. W switchach
3850 zrezygnowano z trybu hybrid
control-plane processing, który był
charakterystyczny dla przełączników
3750-X. Zamiast tego zastosowano
architekturę NSF/SSO opierającą się
na modelu redundancji 1+1. Polega ona
na wyznaczeniu jednego aktywnego
switcha zarządzającego (najwyższy
priorytet lub najniższy adres MAC)
oraz drugiego będącego jego następcą.
Zadaniem przełącznika zarządzającego
jest ustawianie płaszczyzny data plane
na pozostałych urządzeniach w stosie,
co pozwala na jednolity transport
pakietów poprzez sieć oraz obsługę
ruchu sieciowego. W przypadku
awarii lub odłączenia przełącznika
zarządzającego możliwa jest szybka
zamiana kontroli dzięki synchronizacji
informacji (np. o tablicach routingu,
adresach MAC, warstwie kontrolnej
dla WL AN, tablicach FIB). Rozwiązanie StackWise-480 odznacza się
dużą niezawodnością działania, która
do tej pory kojarzona była głównie
z roz wią z aniami modular nymi.
Switche w stosie mogą być dołączane
lub rozdzielane bez przerywania pracy.
Rys.3.
StackWise-480 oraz Cisco StackPower
system, który pozwala na udostępnianie zasilaczy znajdujących się
w st osie w post ac i wspólnego
zasobu dla wszystkich switchy.
Cisco StackPower łączy wszystkie
zainstalowane zasilacze, tworząc
pulę energii, która jest kierowana
tam gdzie aktualnie jest to potrzebne.
Rozwiązanie umożliwia skonfigurowanie do czterech przełączników 3850
w stosie, połączonych za pomocą
specjalnego złącza z tyłu switchy.
StackPower mogą być wdrażane
w dwóch trybach:
• t r yb podz ia ł u moc y – moc
wszystkich zasilaczy jest gromadzona i rozprowadzana między
wszystkimi przełącznikami 3850
będących w stosie;
• tryb redundancji – przeliczany jest
całkowity budżet mocy w stosie
przełączników bez uwzględniania
mocy zasilacza o najwyższej wydajności. Znajduje się ona w rezerwie
i je s t u ż ywana w momenc ie
awar ii jednego z z asilac z y .
Po takim zdarzeniu Cisco StackPower
przechodzi w tryb podziału mocy.
Widać wyraźnie, że wykorzystanie
Cisco StackPower eliminuje potrzebę
Cisco StackPower
z e wn ę t r z ne go r e dun da n t ne go
zasilania lub instalacji podwójnych
Kolejna nowa technologia wprowa- zasilaczy dla każdego przełącznika
dzona do przełączników 3850 to Cisco pracującego w stosie.
StackPower. Jest to innowacyjny
Biuletyn Informacyjny SOLIDEX®
Podsumowanie
Przełączniki Cisco Catalyst 3850
to urządzenia nowej generacji, które
ofer ują prostot ę , operac yjno ś ć ,
skalowalność oraz dużą wydajność
w dostępowej warstwie sieci. Rozwiązanie to dostarcza zintegrowanych,
inteligentnych usług w sieciach
przewodowych i bezprzewodowych.
Umożliwia stosowanie wydajniejszych polityk, bezpieczeństwa oraz
lepszą elastyczność i widoczność
aplikacji.
Opracowano na podstawie oficjalnych
materiałów producenta.
Ł.H.
Inżynier SOLIDEX
45
Warsztaty Check Point Next - Generation Firewall R75
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN
S2S oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami - IPS,

Content Security,
 Integracja z ActiveDirectory
- budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.solidex.com.pl/oferta/warsztaty
Integrujemy przyszłość®
Autoryzowane
Szkolenia
Cisco
Systems
Program SOLIDEX
®
ICND1
Interconnecting Cisco Network Devices Part 1
ICND2
Interconnecting Cisco Network Devices Part 2
CCNAX
Interconnecting Cisco Networking Devices: Accelerated
ROUTE
Implementing Cisco IP Routing
SWITCH
TSHOOT
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
BGP
MPLS
QOS
IINS
SECURE
FIREWALL
VPN
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Securing Networks with Cisco Routers and Switches v1.0
Deploying Cisco ASA Firewall Features
Deploying Cisco ASA VPN Solutions
CIPT1
Implementing Cisco Unified Communications Manager Part 1 v8.0
CIPT2
Implementing Cisco Unified Communications Manager Part 2 v8.0
CWLMS
IP6FD
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
IUWNE
Implementing Cisco Unified Wireless Networking Essentials
DESGN
Designing for Cisco Internetwork Solutions
ARCH
Designing Cisco Network Service Architectures
Infolinia: 800 49 55 82
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX
Złote Tarasy - Lumen, ul. Złota 59
Kraków
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Podobne dokumenty

Integrator Nr IV/2010 (113)

Integrator Nr IV/2010 (113) Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX®

Bardziej szczegółowo