Cisco TrustSec. Security Group Tags (SGT) Segmentacja Overlay Następnej Generacji. Gaweł Mikołajczyk

Wielkość: px
Rozpocząć pokaz od strony:

Download "Cisco TrustSec. Security Group Tags (SGT) Segmentacja Overlay Następnej Generacji. Gaweł Mikołajczyk gmikolaj@cisco.com"

Transkrypt

1 Cisco TrustSec Security Group Tags (SGT) Segmentacja Overlay Następnej Generacji Gaweł Mikołajczyk Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C EH PLNOG11, September 30, 2013, Kraków, Poland 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

2 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

3 Marzec 2012 Bezpieczeństwo L2 Segmentacja N-S Segmentacja E-W RBAC Service Sandwich FW LB IPS NAM Multitenant VMDC TrustSec intro Widoczność per VM Cisco and/or its affiliates. All rights reserved. Cisco Public 3

4 Październik 2012 Firewall Clustering Virtual Tenant Edge Firewall Cloud Services Routing intro Segmentacja overlay z TrustSec ASA1000V VSG Nexus1000V vpath Cisco and/or its affiliates. All rights reserved. Cisco Public 4

5 Luty 2013 SDNizing the DC Virtual DC Security VXLAN vpath Service Chaining N1kV dla Hyper-V N1kV dla KVM (ß) N1kV InterCloud CSR1000V Cloud Services Router - IOS-XE architecture - MPLS use case - FlexVPN use case Cisco and/or its affiliates. All rights reserved. Cisco Public 5

6 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

7 Źródło Wszystkich Danych Routuje Wszystkie Zapytania Obsługuje Wszystkie Urządzenia Kontroluje Wszystkie Przepływy Widzi Cały Ruch Dotyka Wszystkich Użytkowników Zintegrowane i Holistyczne podejście oparte o SIEĆ

8 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

9 Wstęp do SGT Segmentacja VLAN Filtrowanie dacl na wejściu Data VLAN Voice VLAN Quarantine VLAN Data VLAN Voice VLAN L2 Access L3 Distribution L2 Access Distribution Subnet DHCP Scope IP Address Design STP HSRP VACL PBR permit ip any /24 deny udp any /24 eq 445 permit tcp any /24 eq 80. Oparte o standardy (agnostyczne od producenta) Łatwa implementacja Ukryte koszty implementacji Potrzeba kreacji wszędzie nowych VLANów Punkt definicji polityk i ACL nadal statyczne Pracochłonne utrzymanie zmian chronionych zasobów Niezależne od topologii (podmieniamy źródło) Centralnie zarządzana polityka (Dynamiczne przypisanie) Wszystkie chronione zasoby muszą być zdefiniowane Wyzwanie z pojemnością ACE w TCAM Pracochłonne utrzymanie zmian chronionych zasobów 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

10 Wstęp do SGT NY SF LA NY / / / / / /24. DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) Serwery Produkcyjne SJC DC-RTP (VDI) Source Tradycyjne Reguły ACL/FW Destination permit NY to SRV1 for HTTPS deny NY to SAP2 for SQL deny NY to SCM2 for SSH permit SF to SRV1 for HTTPS deny SF to SAP1 for SQL deny SF to SCM2 for SSH permit LA to SRV1 for HTTPS deny LA to SAP1 for SQL deny LA to SAP for SSH Globalny Bank = dedykowanych 24 inżynierów ACL dla 3 obiektów source & 3 destination dla zarządzania regułami Firewalli Permit SJC to SRV1 for HTTPS Wysoka złożoność deny SJC to SAP1 replikowalnych for SQL Dodanie source czynności Object administracyjnych deny SJC to SCM2 for SSH permit NY to VDI for RDP deny SF to VDI for RDP deny LA to VDI for RDP deny SJC to VDI for RDP Dodanie destination Object 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

11 Wstęp do SGT SGT = Security Group Tags, czyli Znaczniki Grup Bezpieczeństwa SGT pozwalają zdefiniować politykę w sensowny, wysokopoziomowy sposób Klasyfikacja kontekstualna Polityka Biznesowa TAG Security Group Tag Destination Source HR Database Prod HRMS Storage Exec BYOD X X X Rozproszone wymuszenie polityki Exec PC X X Prod HRMS HR Database X Switch Router DC FW DC Switch 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

12 Wstęp do SGT Marketing NY SF LA SJC DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) DC-RTP (VDI) Production Servers BYOD Source SGT: Employee (10) Security Group Filtering Destination SGT: Production_Servers (50) BYOD (200) VDI (201) Polityka podąża za użytkownikiem / maszyną niezależnie od lokalizacji / topologii Permit Employee to Production_Servers eq HTTPS Permit Employee to Production_Servers eq SQL Permit Employee to Production_Servers eq SSH Uproszczony Audyt (Niższy OPEX) Permit Employee to VDI eq RDP VDI Servers Łatwiejsze utrzymanie reguł bezpieczeńswa (Optymalizacja) Deny BYOD to Production_Servers Deny BYOD to VDI eq RDP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

13 Wstęp do SGT Użytkownicy / Urządzenia Klasyfikacja ISE Enforcement Directory Fin Servers SGT = 4 SGT:5 HR Servers SGT = 10 Switch Router DC FW DC Switch Transport SGT SGT jest rozwiązaniem kontroli ruchu sieciowego end-to-end Klasyfikacja systemów/użytkowników oparta jest o kontekst (rola użytkownika, urządzenie, lokalizacja, metoda dostępu) Klasyfikacja kontekstowa jest propagowana z użyciem SGT SGT jest używane przez urządzenia sieciowe dla inteligentnych decyzji związanych z filtrowaniem ruchu od Kampusu po Data Center 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

14 I 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

15 Klasyfikacja Klasyfikacja Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v ASA (Roadmap) Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

16 Klasyfikacja Interfejs SVI do SGT Klasyfikacja użytkownika / urządzenia do SGT Mapowanie serwera fizycznego do SGT Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SRC: Hypervisor SW Mapowanie VLAN do SGT WLC FW Urządzenie BYOD jest klasyfikowane do SGT Mapowanie maszyny wirtualnej do SGT 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

17 Klasyfikacja Proces mapowania SGT do Adresu IP Może być Statyczna lub Dynamiczna Dynamiczna 802.1X MAC Authentication Bypass Web Authentication Statyczna IP to SGT Mapping VLAN to SGT Mapping Subnet to SGT Mapping L2 Interface to SGT Mapping L3 Interface to SGT Mapping Nexus Port Profile to SGT Mapping Layer 2 IP to Port Mapping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

18 Klasyfikacja Suplikant Switch / WLC ISE 00:00:00:AB:CD:EF Layer 2 Layer 3 EAPoL Transaction RADIUS Transaction EAP Transaction 1 Authorized MAC: 00:00:00:AB:CD:EF SGT = 5 Authorization SGT Authentication Authorized 0 Ewaluacja Polityki 2 DHCP cisco-av-pair=cts:security-group-tag= DHCP Lease: /24 ARP Probe IP Device Tracking Binding: 00:00:00:AB:CD:EF = /24 3 SRC: = SGT X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= :SGA_Device INTERNAL :Employee LOCAL Wymagany jest IP Device Tracking 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

19 Klasyfikacja 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

20 Klasyfikacja Przykład IOS CLI Mapowanie IP do SGT cts role-based sgt-map A.B.C.D sgt SGT_Value Mapowanie L2IF do SGT * (config-if-cts-manual)#policy static sgt SGT_Value Mapowanie VLAN do SGT* cts role-based sgt-map vlan-list VLAN sgt SGT_Value Mapowanie L3IF do SGT** cts role-based sgt-map interface name sgt SGT_Value Mapowanie Podsieci do SGT cts role-based sgt-map A.B.C.D/nn sgt SGT_Value Mapowanie L3 ID do Portu** (config-if-cts-manual)#policy dynamic identity name * Zależy od IP Device Tracking ** Zależy od Route Prefix Snooping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

21 Klasyfikacja Switche/AP 3 rd Party lub Legacy VLAN 10 -> Employee: SGT (10/000A) VLAN 11 -> Contractor: SGT (11/000B) Łącze Trunk 802.1X RADIUS Contractor MAC: BC.14AE /32 Cat6500/Sup2T 3K-X ISE 1.1 Pracownik MAC: BC.237B /32 Traffic MAC Address Port SGT IP Address VLAN BC.14AE Fa2/1 11/000B BC.237B Fa2/1 10/000B Cat6500/Sup2T 3K-X IP Device Tracking (ARP/DHCP inspection) SXP Binding Table Tagging SRC: SGT (11/000B) N7K SRC: SGT (10/000A) * Istnieją limity wspieranych VLANs 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21 Tagging

22 Klasyfikacja Monitorowanie prefiksów routingu na określonym interfejsie L3 i przypisanie SGT Może być zaaplikowane do interfejsu L3 niezależnie od rodzaju interfejsu fizycznego: Routed port SVI (interfejs VLAN interface) Subinterfejs Layer 3 portu Layer 2 Tunnel interface cts role-based sgt-map interface GigabitEthernet 3/0/1 sgt 8 cts role-based sgt-map interface GigabitEthernet 3/0/2 sgt 9 Route Updates /24 VSS-1#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== INTERNAL INTERNAL INTERNAL /24 8 L3IF /24 9 L3IF /24 9 L3IF Joint Ventures g3/0/1 EOR DC Access Business Partners g3/0/2 Route Updates / /24 Hypervisor SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

23 II 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

24 Classification Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/Inline) Cat 4K (SXP) Cat 6K Sup2T (SXP/Inline) N7K (SXP/Inline) N5K (SXP Speaker/Inline) N1Kv (SXP Speaker) ASR1K (SXP/Inline) ISR G2 (SXP) ASA (SXP) MACsec Capable z Tagowaniem: Cat3K-X, Cat6K-Sup2T, N7K, N5K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

25 Transport ETHTYPE:0x8909 DMAC SMAC 802.1Q CMD ETYPE PAYLOAD CRC Security Group Tag CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) CMD Tylko overhead SGT Ethernet Frame field Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 20 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) Wsparcie dla N7k/N5k. Wsparcie ISR/ASR w trakcie Cisco and/or its affiliates. All rights reserved. Cisco Public 25

26 Transport ETHTYPE:0x88E5 Encrypted field by MACsec Security Group Tag DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) Ethernet Frame field 802.1AE Header CMD ICV jest to narzut L AE + SGT Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 40 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) MACsec jest opcjonalny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

27 Transport SXP jest protokołem Control Plane, który służy do transportu mapowań IP- SGT SXP używa TCP jako protokołu transportowego Przyspiesza wdrożenie SGT Speaker SXP Listener SW SXP (Agregacja) RT Wspiera Single Hop SXP & Multi-Hop SXP (agregacja) SW SXP Dwie role: Speaker (nadawca) i Listener (odbiorca) SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

28 Transport Inline SGT Tagging SXP CMD Field IP Address SGT ASIC Opcjonalnie zaszyfrowane ASIC ASIC L2 Ethernet Frame SRC: Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SXP SRC: Hypervisor SW WLC Inline SGT Tagging: Wsparcie sprzętowe na platformie SXP: Jeżeli urządzenie nie wspiera Inline (non SGT-capable) FW IP Address SGT SRC Local SXP IP-SGT Binding Table 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

29 Transport IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x02 (SYN) IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 (ACK) Speaker TCP SYN TCP SYN-ACK IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x12 (SYN, ACK) Listener (SGT6) CTS6K TCP ACK SXP OPEN CTS7K ISE 1.1 IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 ( ACK) SXP Type: Open Version: 1 Device ID: CTS6K IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x10 (ACK) SXP Type: Update Update Type: Install IP Address: SGT: 6 SXP UPDATE SXP OPEN_RESP IP Src: Dst: TCP Src Port: Dst Port: Flags: 0x18 (PSH, ACK) SXP Type: Open_Resp Version: 1 Device ID: CTS7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

30 Transport Single-Hop SXP SXP Speaker Listener Domena Non-TrustSec SGT Enabled SW/WLC SGT Capable HW Multi-Hop SXP SXP SXP Speaker Listener Speaker Listener SGT Enabled SW/WLC SGT Enabled SW SGT Capable HW Speaker SXP SGT Enabled SW/WLC 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

31 Transport Data Center IP Address SGT Contractor Employee - 30 N7K NDAC/SAP 802.1AE Encryption Contractor Employee - 30 SXP 6K w/720 6K w/ SUP 2T ISRG2 15.2(2)T ASR1K - IOS XE 3.4 ASR1K Listener-1 SXP ASR1K Listener-2 Cat6K(SUP 2T) - IOS 12.2(50)SY1 SXP WAN SXP Jednokierunkowy transport Enforcement branch do DC Speaker-1... Speaker-300 IP Address SGT IP Address SGT Contractor - 10 Employee Contractor - 10 Employee Cisco and/or its affiliates. All rights reserved. Cisco Public 31

32 Transport Data Center N7K ASR1K 3.9 Cat6K (SUP 2T) 15.1(1)SY ISR-G2 15.3(2)T Dwukierunkowe SXP z wykrywaniem pętli IP Address SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30 ASR1K 6K 6K ASR1K Pozwala headendowi ASR1K być relay IP/SGT remote-toremote SXPv4 Listener-1 WAN Listener-2 SXPv4 IP Address SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30 Speaker-1 IP Address Speaker Cisco and/or its affiliates. All rights reserved. Cisco Public 32 SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30

33 Transport SGACL WLC MACSec AP SGT L2 Frame Finance Catalyst Switch ISE Catalyst Switch Branch Network IPSEC Nexus 5500/2000 SXP Internet Employee Catalyst Switch Admin Remote Networks IPSEC Catalyst 6500 Nexus 7000 Data Center Contractor IPSec inline Tagging Nagłówek ESP Wymiana SGT Capability w trakcie negocjacji IKEv2 Pobieranie SGT z SXP lub metod Autoryzacji Wsparcie dla Site-to-Site IPSec DMVPN, DVTI, SVTI 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33

34 Transport SGACL MACSec AP Finance WLC ISE SGT L2 Frame Catalyst Switch Branch Network GETVPN Catalyst 6500 Nexus 5500/2000 SXP Internet Employee GETVPN Remote Networks Nexus 7000 Data Center HR GETVPN Catalyst Switch Contractor ISR-G2 15.3T i ASR 3.9 GETVPN inline Tagging nagłówek GET Wymiana SGT Capability w trakcie negocjacji GET/GDOI Pobieranie SGT z SXP lub metod Autoryzacji 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

35 III 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35

36 Classification Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

37 Enforcement Klasyfikacja Docelowa: Web_Dir: SGT 20 CRM: SGT 30 Marysia uwierzytelniona i sklasyfikowana jako Marketing (5) FIB Lookup Docelowy MAC/Port SGT 20 ISE SRC: Cat3750X 5 SRC: DST: SGT: 5 Cat6500 Cat6500 Nexus 7000 Rdzeń Sieci Enterprise Nexus 5500 Nexus 2248 Nexus 2248 Web_Dir DST: SGT: 20 CRM DST: SGT: 30 WLC5508 ASA5585 SRC\DST Marketing (5) Web_Dir (20) SGACL-A CRM (30) SGACL-B BYOD (7) Deny Deny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37

38 Enforcement Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38

39 Enforcement Dlaczego Radius CoA? SGT SGT SGT SGT SGT Wymuszenie SGACL za Enforcement pomocą SGACL cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit deny ip tcp dst eq 80 deny ip Domena Cisco TrustSec Identity Service Engine SRC \ DST Server A (111) Server B (222) User A (10) Permit all SGACL-C SGACL-A VLAN 110 VLAN 120 VLAN 130 User B (20) Deny all SGACL-B 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39

40 IV 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40

41 SGFW SGT Name Download IP Address SGT SXP SGFW Wymuszenie na Firewallu Polityki ASDM SGT 10 = PCI_User SGT 100 = PCI_Svr ISE dla Polityk SGACL Marketing (10) Campus Network SGACL Autoryzacja z przydzieleniem SGT SXP Wymuszenie na switchu Data Center Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na firewallach ASA Synchronizacja grup SGT z ISE i ASDM na firewallach ASA Bogate logowanie zdarzeń na SGFW Zarządzanie regułami 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41

42 SGFW ISE for SGACL Policies SXP SGFW Enforcement on a ASR PCI SGACL Campus Network SGFW IP Address SGT Marketing (10) Enforcement on a ISR SXP Enforcement on a switch Data Center Design Considerations Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na routerach ISR-G2 / ASR1000. Wykorzystanie integracji Zone-Based Firewall z SGT Wsparcie ZBFW Active/Active dla routingu asymetrycznego po stronie headendu 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42

43 ASA 5585-X ISE Źródłowy SGT Docelowy SGT Faza I: Context Agent Identity Firewall w ASA 8.4(2) Faza II: wsparcie dla TrustSec w ASA 9.0(1) SXP Listener / Speaker. ISE PAC Provisioning. SGACL w koegzystencji z dotychczasowymi ACL i IDFW z CDA 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43

44 Enforcement 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44

45 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45

46 Przykład użycia Security Group Firewalling Automatyzacja reguł Firewalla z uzyciem funkcji ASA SG-Firewall Data Center Rdzeń DC Agregacja Security Group Firewalling Automatyzacja reguł Firewalla z uzyciem funkcji ASA SG-Firewall DC Uslugi Security Group ACLs Segmentacja basująca na matrycy SGACL Aplikowane na przełącznikach Nexus 7000/5500/2000 niezależnie od topologii DC Dostęp Dostęp wirtualny Serwery Fizyczne Serwery Wirtualne SGACL enabled Device SG Firewall enabled Device 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46

47 Przykład użycia Port-Profile kontener właściwości sieciowych VM dziedziczą konfigurację sieciową przy nadaniu Port-Profile Administrator VM otrzymuje gotowy konstrukt do użycia 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47

48 Przykład użycia Port-profile są przypisaywane do VMs PCI_DB PCI_Web GeneralServers Employees PCI_Users Nexus 1000V propaguje SGT z użyciem SXP do przełączników i firewalli

49 Przykład użycia PCI_Users Campus Network Risk Level 1 SXP SXP Risk Level 2 ISE PCI_Web PCI_App PCI_DB LOB2_DB Klasyfikacja SGT serwerów (N1KV Port Profile, N7K IP/SGT) SGACL na przełącznikach w obrębie jednego dzierżawcy (Risk level) ASA SGFW pomiędzy dzierżawcami (mapowania IP/SGT za pomocą SXP)

50 Kod promocyjny: cisco Cisco and/or its affiliates. All rights reserved. Cisco Public 50

51 Buonasera! 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51

52

Securing the Cloud Infrastructure

Securing the Cloud Infrastructure Securing the Cloud Infrastructure from Hypervisor to the Edge Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA PLNOG8, March

Bardziej szczegółowo

Gaweł Mikołajczyk gmikolaj@cisco.com

Gaweł Mikołajczyk gmikolaj@cisco.com Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C EH PLNOG10, February 28, 2013, Warsaw, Poland 2013 Cisco and/or its affiliates.

Bardziej szczegółowo

Architektura Cisco TrustSec

Architektura Cisco TrustSec Architektura Cisco TrustSec Adam Obszyński Systems Engineer, CCIE #8557 aobszyns@cisco.com 1 Agenda 1. Cisco TrustSec - co to jest? 2. Autoryzacja i wdrażanie polityk w sieci 3. Security Group Access 4.

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS

Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS Łukasz Bromirski lbromirski@cisco.com CONFidence, maj 2007 Kraków 2006 Cisco Systems, Inc. All rights reserved. 1 Agenda Po co wirtualizacja?

Bardziej szczegółowo

Wirtualizacja sieci - VMware NSX

Wirtualizacja sieci - VMware NSX Wirtualizacja sieci - VMware NSX Maciej Kot Senior System Engineer mkot@vmware.com 2014 VMware Inc. Wszelkie prawa zastrzeżone. Software-Defined Data Center a Usługi Sieciowe Software-Defined Data Center

Bardziej szczegółowo

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700.

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700. AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700. Andrzej Skowronek Rev 5058-CO900E Czym jest sieć Ethernet? Defacto" standardową

Bardziej szczegółowo

DESIGNED FOR ALL-WIRELESS WORLD

DESIGNED FOR ALL-WIRELESS WORLD DESIGNED FOR ALL-WIRELESS WORLD 04/03/2013 Łukasz Naumowicz, Technical Support Manager 1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole 2. Kilka słów o technologii VLANy Rozpoznawanie

Bardziej szczegółowo

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ Przedmiotem zamówienia jest: I. Rozbudowa istniejącej infrastruktury Zamawiającego o przełącznik sieciowy spełniający poniższe wymagania minimalne szt.

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Wprowadzenie do Active Directory. Udostępnianie katalogów

Wprowadzenie do Active Directory. Udostępnianie katalogów Wprowadzenie do Active Directory. Udostępnianie katalogów Wprowadzenie do Active Directory. Udostępnianie katalogów. Prowadzący: Grzegorz Zawadzki MCITP: Enterprise Administrator on Windows Server 2008

Bardziej szczegółowo

Konfigurowanie sieci VLAN

Konfigurowanie sieci VLAN Konfigurowanie sieci VLAN 1 Wprowadzenie Sieć VLAN (ang. Virtual LAN) to wydzielona logicznie sieć urządzeń w ramach innej, większej sieci fizycznej. Urządzenia tworzące sieć VLAN, niezależnie od swojej

Bardziej szczegółowo

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r. Sieci VLAN Podstawy konfiguracji Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r. Na początek Zajmujemy się przełącznikami i ich bezpieczeostwem! Interesuje nas warstwa II i

Bardziej szczegółowo

Obsługa abonentów poprzez sieć L2 i L3, czyli ciąg dalszy centralnego BRASa w sieci

Obsługa abonentów poprzez sieć L2 i L3, czyli ciąg dalszy centralnego BRASa w sieci Obsługa abonentów poprzez sieć L2 i L3, czyli ciąg dalszy centralnego BRASa w sieci coś o mnie dlaczego kontynuacja tematu? Obecna struktura sieci SE100 #1 SE100 #2 BGP peer 1 BGP peer 2 BGP peer 3 PPPoE

Bardziej szczegółowo

Przypisywanie adresów IP do MAC-adresów

Przypisywanie adresów IP do MAC-adresów Przypisywanie adresów IP do MAC-adresów Aby skutecznie korzystać z reguł Firewalla, należy najpierw przypisać adresy IP do MACadresów kart sieciowych komputerów w sieci LAN. Załóżmy, że router posiada

Bardziej szczegółowo

Adresy IP v.6 IP version 4 IP version 6 byte 0 byte 1 byte 2 byte 3 byte 0 byte 1 byte 2 byte 3

Adresy IP v.6 IP version 4 IP version 6 byte 0 byte 1 byte 2 byte 3 byte 0 byte 1 byte 2 byte 3 Historia - 1/2 Historia - 2/2 1984.1 RFC 932 - propozycja subnettingu 1985.8 RFC 95 - subnetting 199.1 ostrzeżenia o wyczerpywaniu się przestrzeni adresowej 1991.12 RFC 1287 - kierunki działań 1992.5 RFC

Bardziej szczegółowo

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com Agenda Gdzie jesteśmy? Gdzie idziemy? Q&A 2 Gdzie jesteśmy? 3 Mamy wszystko... 4 5 DDoSy się kupuje

Bardziej szczegółowo

Aneks do instrukcji obsługi routera Asmax Br-804v II

Aneks do instrukcji obsługi routera Asmax Br-804v II Aneks do instrukcji obsługi routera Asmax Br-804v II 1. Aneks do filtrowania WAN (firmware V0.05) 2. Aneks do filtrowania LAN IP Filters (firmware A0.05) 3. Aneks do filtrowania LAN MAC Filters (firmware

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

Palo Alto firewall nowej generacji

Palo Alto firewall nowej generacji Palo Alto firewall nowej generacji Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu

Bardziej szczegółowo

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy PBS Wykład 6 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski

Bardziej szczegółowo

Zadanie.09-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16

Zadanie.09-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16 ASDM - Adaptive Security Device Manager (pix) HTTP Device Manager (switch) SSH (pix), TELNET (switch) Schemat sieci OUTSIDE 200. 200. 200.0/24 outside security- level 0 192. 168.1.0/24 dmz security- level

Bardziej szczegółowo

Zadanie.05-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside security- level 0 192. 168.1.0/24. inside security- level 100 176.16.0.0/16 VLAN1 10.0.0.

Zadanie.05-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside security- level 0 192. 168.1.0/24. inside security- level 100 176.16.0.0/16 VLAN1 10.0.0. VLAN, trunking, inter-vlan routing, port-security Schemat sieci OUTSIDE 200. 200. 200.0/24 dmz security- level 50 outside security- level 0 192. 168.1.0/24 inside security- level 100 176.16.0.0/16 VLAN1

Bardziej szczegółowo

Budowa sieci dostępowych TriplePlay z wykorzystaniem rozwiązań DCN oraz Raisecom

Budowa sieci dostępowych TriplePlay z wykorzystaniem rozwiązań DCN oraz Raisecom Budowa sieci dostępowych TriplePlay z wykorzystaniem rozwiązań DCN oraz Raisecom Agenda Budowa sieci xpon Łączenie węzłów w technologi xwdm Przykładowa konfiguracja sieci PON bazująca na rozwiązaniu Raisecom

Bardziej szczegółowo

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja

Bardziej szczegółowo

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Korporacyjne Sieci Bez Granic Corporate Borderless Networks Korporacyjne Sieci Bez Granic Corporate Borderless Networks dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń KSBG (v2013) 1 Korporacyjne sieci LAN Model

Bardziej szczegółowo

Sieci komputerowe Zasada działania i konfigurowanie przełączników

Sieci komputerowe Zasada działania i konfigurowanie przełączników Sieci komputerowe Zasada działania i konfigurowanie przełączników dr Zbigniew Lipiński Instytut Matematyki i Informatyki ul. Oleska 48 50-204 Opole zlipinski@math.uni.opole.pl Domena kolizyjna, zadania

Bardziej szczegółowo

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role

Bardziej szczegółowo

WOJSKOWA AKADEMIA TECHNICZNA

WOJSKOWA AKADEMIA TECHNICZNA 18.03.2010r. WOJSKOWA AKADEMIA TECHNICZNA Laboratorium TECHNOLOGIE SIECI TELEINFORMATYCZNYCH Prowadzący: Autorzy: Marek Wichtowski Elżbieta Oknińska Kamil Piersa Krzysztof Piotrowski Grzegorz Pol Marcin

Bardziej szczegółowo

12-3-29 Data Center Allegro 1

12-3-29 Data Center Allegro 1 12-3-29 Data Center Allegro 1 Data Center Allegro wyboista droga L2 do autostrady L3 Przemysław Grygiel CCIE #15278 12-3-29 Data Center Allegro 2 Agenda Data Center >3 lata temu Core Upgrade Racki i moduły

Bardziej szczegółowo

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Przełączanie i Trasowanie w Sieciach Komputerowych

Przełączanie i Trasowanie w Sieciach Komputerowych Przełączanie i Trasowanie w Sieciach Komputerowych Przedmiot Zaawansowane trasowanie IP: Usługi trasowania; modele wdrażania Wdrożenie protokołu Enhanced Interior Gateway Routing Protocol Wdrożenie protokołu

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

Tworzenie połączeń VPN.

Tworzenie połączeń VPN. Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

Asmax AR-901/1004-G-E-I

Asmax AR-901/1004-G-E-I Asmax AR-901/1004-G-E-I Przekierowanie portów, dostęp zdalny, serwery umieszczone za NAT, DMZ, VoIP Nowości, dane techniczne http://www.asmax.pl Sterowniki, firmware ftp://ftp.asmax.pl/pub/sterowniki Instrukcje,

Bardziej szczegółowo

Przełą. łączniki Ethernetowe

Przełą. łączniki Ethernetowe Przełą łączniki Ethernetowe proste przełą zarządzalne przełą zarządzalne przełą zarządzalne przełą łączniki Layer 3+ łączniki Layer 2+ łączniki Layer 2 łączniki niezarządzalne Layer 2 Przełą łączniki ethernetowe

Bardziej szczegółowo

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik Budowa bezpiecznej sieci w małych jednostkach Prowadzący: mgr inż. Artur Cieślik a r t u r. c i e s l i k @ b e z p i e c z e n s t w o i t.

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Załącznik nr 2 do SIWZ. strona. z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA/SPECYFIKACJA TECHNICZNA URZĄDZEŃ

Załącznik nr 2 do SIWZ. strona. z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA/SPECYFIKACJA TECHNICZNA URZĄDZEŃ nr postępowania: BZP.243.4.2012.AB Załącznik nr 2 do SIWZ. Pieczęć Wykonawcy strona z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA/SPECYFIKACJA TECHNICZNA URZĄDZEŃ LP. Opis i minimalne parametry techniczne

Bardziej szczegółowo

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia 1) Uruchomienie str. 2 2) Konfiguracja NEOSTRADA str. 3 3) Konfiguracja NET24 str. 4 4) Konfiguracja sieć LAN str. 5 5) Przekierowanie portów

Bardziej szczegółowo

Elastyczna sieć dla rozwiązań Cloud Open vswitch

Elastyczna sieć dla rozwiązań Cloud Open vswitch Elastyczna sieć dla rozwiązań Cloud Open vswitch Dariusz Puchalak 19+ lat Linux/Unix Sysadmin 7+ lat trener 6+ m-cy w OSEC OSEC 6+ lat na rynku doświadczona kadra (ACNI, RHCA) specjalizacja open-source

Bardziej szczegółowo

Podstawy MPLS. pijablon@cisco.com. PLNOG4, 4 Marzec 2010, Warszawa 1

Podstawy MPLS. pijablon@cisco.com. PLNOG4, 4 Marzec 2010, Warszawa 1 Podstawy MPLS Piotr Jabłoński pijablon@cisco.com 1 Plan prezentacji Co to jest MPLS i jak on działa? Czy moja sieć potrzebuje MPLS? 2 Co to jest MPLS? Jak on działa? 3 Co to jest MPLS? Multi Protocol Label

Bardziej szczegółowo

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Załącznik nr 1 do umowy nr z dnia CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Router/Firewall: szt. 6 Oferowany model *... Producent *... L.p. 1. Obudowa obudowa o wysokości maksymalnie 1U dedykowana

Bardziej szczegółowo

Ewolucja operatorów od dostawców bitów do dostawców usług

Ewolucja operatorów od dostawców bitów do dostawców usług Ewolucja operatorów od dostawców bitów do dostawców usług Przemek Borek, Cisco Systems prborek@cisco.com 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 Agenda Problemy operatorów

Bardziej szczegółowo

DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation DMVPN, czyli Transport Independent Design dla IWAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation AVC MPLS 3G/4G-LTE ASR1000- AX Chmura prywatna Wirtualna chmura prywatna Oddział WAAS

Bardziej szczegółowo

OCENA ZABEZPIECZEŃ. Obraz środowiska wirtualnego

OCENA ZABEZPIECZEŃ. Obraz środowiska wirtualnego OCENA ZABEZPIECZEŃ Obraz środowiska wirtualnego Data Center model klasyczny Data Center konsolidacja zasobów Bezpieczne? Data Center Wpływ wirtualizacji na obszar bezpieczeństwa Nieaktualne Obrazy VM Virus

Bardziej szczegółowo

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Środowisko IEEE 802.1X określa się za pomocą trzech elementów: Protokół 802.1X Hanna Kotas Mariusz Konkel Grzegorz Lech Przemysław Kuziora Protokół 802.1X jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i scentralizowane uwierzytelnianie

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC Radosław Wal radosław.wal@clico.pl Agenda Quiz pt: Czy potrzebuję rozwiązania klasy NAC, a jeśli tak, to jakiego? Czy

Bardziej szczegółowo

EMC Storage Resource Management Suite

EMC Storage Resource Management Suite EMC Storage Resource Management Suite Większa kontrola i proaktywność działań z platformą SRM Suite Karol Boguniewicz Tomasz Firek Roland Papp 1 Storage Operations Center (SOC) 2 Zarządzanie infrastrukturą

Bardziej szczegółowo

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT MONITOROWANIE DOSTĘPNOŚCI USŁUG IT POZIOMY MONITOROWANIA Services Transaction Application OS Network IBM TIVOLI MONITORING Proaktywnie monitoruje zasoby systemowe, wykrywając potencjalne problemy i automatycznie

Bardziej szczegółowo

Marek Pyka,PhD. Paulina Januszkiewicz

Marek Pyka,PhD. Paulina Januszkiewicz Marek Pyka,PhD Security Engineer Paulina Januszkiewicz Security Engineer Academy of Business in Dąbrowa Górnicza, POLAND prezentują [EN] Remote access mechanics as a source of threats to enterprise network

Bardziej szczegółowo

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). . ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA

OPIS PRZEDMIOTU ZAMÓWIENIA Załącznik nr 1 do SIWZ Załącznik nr 1 do umowy OPIS PRZEDMIOTU ZAMÓWIENIA 1. Przełącznik sieciowy - typ 1. (1 sztuka) Lp. 1 2 3 Minimalne wymagane parametry techniczne Zamawiającego Przełącznik w metalowej

Bardziej szczegółowo

Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu

Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu Łukasz Naumowicz Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu radiowego Zwielokrotnienie przepływności

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

Konwerter RS-485->TCP/IP [ethernet] ATC-2000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet]

Konwerter RS-485->TCP/IP [ethernet] ATC-2000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet] F&F Filipowski sp.j. ul. Konstantynowska 79/81 95-200 Pabianice POLAND tel/fax 42-2152383, 2270971 e-mail: fif@fif.com.pl www.fif.com.pl Konwerter RS-485->TCP/IP [ethernet] ATC-2000 SZYBKI START [konfiguracja

Bardziej szczegółowo

Porty przełącznika: 8 lub więcej portów typu 10/100/1000Base-T 2 lub więcej porty SFP Gigabit Ethernet (obsługujące również moduły SFP Fast Ethernet)

Porty przełącznika: 8 lub więcej portów typu 10/100/1000Base-T 2 lub więcej porty SFP Gigabit Ethernet (obsługujące również moduły SFP Fast Ethernet) Specyfikacja techniczna zamówienia 1. Zestawienie przełączników Lp. Typ przełącznika Ilość 1 Przełącznik dostępowy z portami SFP GigabitEthernet 30 szt. 2 Przełącznik dostępowy PoE Gigabit Ethernet 3 szt.

Bardziej szczegółowo

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL Załącznik nr 5 do specyfikacji BPM.ZZP.271.479.2012 SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL Sprzęt musi być zgodny, równowaŝny lub o wyŝszych parametrach technicznych z wymaganiami określonymi

Bardziej szczegółowo

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N PODSTAWOWA KONFIGURACJA LINKSYS WRT300N 1. Topologia połączenia sieci WAN i LAN (jeśli poniższa ilustracja jest nieczytelna, to dokładny rysunek topologii znajdziesz w pliku network_konfigurowanie_linksys_wrt300n_cw.jpg)

Bardziej szczegółowo

Warstwa ozonowa bezpieczeństwo ponad chmurami

Warstwa ozonowa bezpieczeństwo ponad chmurami Warstwa ozonowa bezpieczeństwo ponad chmurami Janusz Mierzejewski Presales consultant 27.09.2012 1 Agenda 2 : Szansa i wyzwanie Private Powinniśmy wykorzystać rozwiązania by reagować na potrzeby biznesu

Bardziej szczegółowo

SPECYFIKACJA TECHNICZNA ZAMÓWIENIA

SPECYFIKACJA TECHNICZNA ZAMÓWIENIA SPECYFIKACJA TECHNICZNA ZAMÓWIENIA Załącznik nr 5 Zgodnie z art. 29 Prawa zamówień publicznych dopuszcza się składanie rozwiązań równoważnych. W przypadku oferowania sprzętu równoważnego Zamawiający zastrzega

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Meru Partner Day 2012. 13/09/2012 Łukasz Naumowicz, Technical Support Manager

Meru Partner Day 2012. 13/09/2012 Łukasz Naumowicz, Technical Support Manager Meru Partner Day 2012 13/09/2012 Łukasz Naumowicz, Technical Support Manager 1. Nowe funkcje w oprogramowaniu SD 5.0 SD 5.1 SD 5.2 2. Wspierany sprzęt 3. Rekomendacja dla instalacji mieszanych AP150/AP200/AP300,

Bardziej szczegółowo

Zadanie.07-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16

Zadanie.07-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside 192. 168.1.0/24. security- level 50 176.16.0.0/16 RADIUS - Remote Authentication Dial-In User Service Schemat sieci OUTSIDE 200. 200. 200.0/24 outside security- level 0 192. 168.1.0/24 dmz security- level 50 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20

Bardziej szczegółowo

Przełącznik sieciowy (2 szt.) spełniający przedstawione poniżej warunki techniczne

Przełącznik sieciowy (2 szt.) spełniający przedstawione poniżej warunki techniczne Przełącznik sieciowy (2 szt.) spełniający przedstawione poniżej warunki techniczne 1. Posiadający co najmniej : 24 porty 100/1000BaseX SFP (4 combo) 8 portów 10/100/1000BaseT RJ45 (4 combo) 4 porty 10GBaseX

Bardziej szczegółowo

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco. Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.com (022) 572-2715 2002, Cisco Systems, Inc. All rights reserved. 1 Społeczeństwo Informacyjne

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Wprowadzenie 13 Rozdział 1. Zdalny dostęp 17 Wprowadzenie 17 Typy połączeń WAN 19 Transmisja asynchroniczna kontra transmisja synchroniczna

Bardziej szczegółowo

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 - Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA

OPIS PRZEDMIOTU ZAMÓWIENIA nr postępowania: BU/2013/KW/5 Załącznik nr 4b do SIWZ. Pieczęć Wykonawcy strona z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA Dostawa, instalacja i konfiguracja sprzętu sieciowego oraz systemu zabezpieczeń

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN) Sieci nowej generacji Sieci VPN Marek Pałczyński Sieci VPN Cechy sieci VPN Tunel do przekazywania pakietów sieci LAN przez sieć WAN Przezroczystość dla użytkowników końcowych Bezpieczeństwo transmisji

Bardziej szczegółowo

1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4

1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4 Szybki start telefonu AT810 Wersja: 1.1 PL 2014 1. Podłączenie i instalacja AT810... 3 1.1 Podłączenie... 3 1.2 Montaż... 4 1.2.1 Biurko... 4 1.2.2 Montaż naścienny... 4 2. Konfiguracja przez stronę www...

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

PRZEDMIAR ROBÓT ROZBUDORWA SIECI LOGICZNEJ

PRZEDMIAR ROBÓT ROZBUDORWA SIECI LOGICZNEJ PRZEDMIAR ROBÓT ROZBUDORWA SIECI LOGICZNEJ Nazwa robót budowlanych Obiekt: Nazwa i adres zamawiającego Wykonanie rozbudowy sieci logicznej 45-068 Opole Ul. 1 Maja 6 Agencja Nieruchomości Rolnych Oddział

Bardziej szczegółowo

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej Obserwowany w ostatnich latach znaczący wzrost zastosowań sieci

Bardziej szczegółowo

Szczegółowy opis przedmiotu zamówienia

Szczegółowy opis przedmiotu zamówienia Numer sprawy: DGA/34/10 Załącznik A do SIWZ Przedmiot zamówienia: dostawa urządzeń sieciowych, szaf serwerowych oraz okablowania dla Instytutu Łączności Państwowego Instytutu Badawczego w Warszawie w ramach

Bardziej szczegółowo

GS1910-24HP. 24-portowy zarządzalny przełącznik. Opis produktu. Charakterystyka produktu

GS1910-24HP. 24-portowy zarządzalny przełącznik. Opis produktu. Charakterystyka produktu Opis produktu Przełącznik GS1910-24 to inteligentny przełącznik zarządzalny który umożliwia maksymalną przepustowość i spełnia rosnące wymagania sieciowe małych i średnich przedsiębiorstw (SMB). Urządzenia

Bardziej szczegółowo

Plan realizacji kursu

Plan realizacji kursu Ramowy plan kursu Plan realizacji kursu Lp. Tematy zajęć Liczba godzin 1 Wprowadzenie do sieci komputerowych Historia sieci komputerowych Korzyści wynikające z pracy w sieci Role komputerów w sieci Typy

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Kompleksowe rozwiązania TriplePlay od Salumanus

Kompleksowe rozwiązania TriplePlay od Salumanus Kompleksowe rozwiązania TriplePlay od Salumanus Raisecom PON Portfolio produktowe OLT ONU Data ISCOM5101 ISCOM6800 ISCOM5104/5104Q Data+Voice Auto Meter Reading Data+Voice+CATV ISCOM5204 ISCOM5104PI-4R

Bardziej szczegółowo

NIEUPOWAśNIONYM WSTĘP WZBRONIONY

NIEUPOWAśNIONYM WSTĘP WZBRONIONY NIEUPOWAśNIONYM WSTĘP WZBRONIONY Autentykacja (uwierzytelnianie) uŝytkowników w oparciu o standard 802.1x mgr inŝ. Jakub Nowakowski 2009-03-12 Agenda Pojęcia związane z tematem prezentacji Cel uwierzytelniania

Bardziej szczegółowo

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006 Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006 Tomasz Piontek (Tomasz.Piontek@umk.pl) Łukasz Cichocki (Lukasz.Cichocki@umk.pl) dokument przygotowany w ramach projektu PLATON maj 2012

Bardziej szczegółowo

WOJEWÓDZTWO PODKARPACKIE

WOJEWÓDZTWO PODKARPACKIE WOJEWÓDZTWO PODKARPACKIE Projekt współfinansowany ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego oraz budŝetu Państwa w ramach Regionalnego Programu Operacyjnego Województwa

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12

Bardziej szczegółowo

Planowanie telefonii VoIP

Planowanie telefonii VoIP Planowanie telefonii VoIP Nie zapominając o PSTN Składniki sieci telefonicznej 1 Centrale i łącza między nimi 2 Nawiązanie połączenia Przykład sygnalizacji lewy dzwoni do prawego 3 4 Telefonia pakietowa

Bardziej szczegółowo

Gdzie ComNet świadczy usługi.

Gdzie ComNet świadczy usługi. D-Link, SGT, ComNet Jak urządzenia D-Link przenoszą multicasty IPTV u operatorów współpracujących z SGT. Doświadczenia, wnioski, zalecenia. Agata Malarczyk Łukasz Nierychło Quo vadis, D-Link? SGT ComNet

Bardziej szczegółowo

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN) Wojciech Mazurczyk Warszawa, kwiecień 2008 ZTiT. Zakład Teleinformatyki

Bardziej szczegółowo

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji 1. Logowanie się do systemu ipfon24 Aby zalogować się do systemu należy wejść na https://ipfon24.ipfon.pl i zalogować się podające login wybrany podczas

Bardziej szczegółowo

Datacenter - Przykład projektu dla pewnego klienta.

Datacenter - Przykład projektu dla pewnego klienta. Datacenter - Przykład projektu dla pewnego klienta. Wstęp! Technologie oraz infrastruktury wykorzystywane przez Capgemini. Projekt dla pewnego francuskiego klienta założenia Requests Capgemini datacenters

Bardziej szczegółowo

There is nothing more important than our customers

There is nothing more important than our customers There is nothing more important than our customers There is nothing more important than our customers 2012 Enterasys Networks, Inc. All rights reserved Rozwiązania OneFabric OneFabric Control Center, Data

Bardziej szczegółowo