W numerze między innymi:

Transkrypt

1 Integrujemy przyszłość ISSN Biuletyn Informacyjny SOLIDEX Nr II/2016 (135) W numerze między innymi: WYDARZENIA: SOLIDEX najlepszym Partnerem Handlowym Clico KGHM docenia współpracę z SOLIDEX NOWOŚCI: SDN w wydaniu Vmware NSX TECHNOLOGIE: Digital Vault -nowe spojrzenie na bezpieczeństwo ROZWIĄZANIA: RSA Advanced SOC

2

3 Numer: II/2016 (135) Szanowni Państwo! Z rozpoczęciem roku szkolnego oddajemy w Państwa ręce najnowszy, jesienny numer Integratora. Minione miesiące były dla nas bardzo owocne wraz z naszymi Partnerami technologicznymi zorganizowaliśmy wiele seminariów tematycznych dla naszych Klientów. Poświęcone były głównie bezpieczeństwu sieci rozwiązaniom Cisco, Check Point, Intel Security, Fortinet oraz F5 Networks. SOLIDEX udzielał się również charytatywnie - jako jeden ze sponsorów Festiwalu Zaczarowanej Piosenki Fundacji Mimo Wszystko. Więcej informacji dotyczących minionych wydarzeń na stronach 4-8. W nowym Integratorze znajdziecie Państwo kontynuację artykułu z poprzedniego numeru ASA z usługami FIREPOWER (str. 35). Polecamy również tekst poświęcony rozwiązaniom telepresence firmy Cisco - Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server (str. 42). Na łamach biuletynu pojawiły się także artykuły na temat zagadnień, o których nie mieliśmy jeszcze okazji pisać -Producentach: Arista Networks (str. 23) oraz CyberArk (str. 31). Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 SOLIDEX najlepszym Partnerem Handlowym Clico 4 KGHM docenia współpracę z SOLIDEX 5 Forum Bezpieczeństwa Banków 5 Bezpieczna sieć we Wrocławiu 6 SOLIDEX nagrodzony przez firmę Check Point 6 Cykl seminariów prezentujących rozwiązania firmy Check Point 7 SOLIDEX Boat Show zbuduj bezpieczną sieć z SOLIDnymi EXpertami 8 Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX NOWOŚCI 9 Hiperkonwergencja od Cisco -HX Data HyperFlex 13 Nowości w portfolio Juniper Networks 18 SDN w wydaniu Vmware NSX TECHNOLOGIE 23 Arista producent innowacyjnych rozwiązań 26 Przełączniki Przemysłowe Cisco (Cisco Industrial Ethernet Switch) 31 Digital Vault nowe spojrzenie na bezpieczeństwo ROZWIĄZANIA 35 ASA z usługami FIREPOWER (c.d.), cz.ii - projektowanie 38 Szyna wymiany informacji McAfee Data Exchange Layer (DXL) 42 Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server 47 RSA Advanced SOC Biuletyn Informacyjny SOLIDEX

4 WYDARZENIA SOLIDEX najlepszym partnerem handlowym Clico Z wielką przyjemnością informujemy, że wieloletnia współpraca SOLIDEX z firmą Clico Sp. z o.o. została uhonorowana nagrodą dla Najlepszego Partnera Handlowego za 2015 rok. Na dorocznym Clico Partner Event (11-13 maja 2016) wyróżnienie odebrali członkowie Zarządu SOLIDEX wraz z niezwykle liczną delegacja SOLIDnych EXpertów. Mamy nadzieję, że przyszła współpraca między naszymi Firmami będzie przebiegać równie satysfakcjonująco, jak przez ostatnie lata. Firma Clico Sp. z o.o. jest jednym z największych specjalizowanych dystrybutorów z wartością dodaną (VAD) na rynku polskim oraz Europy Centralnej i Wschodniej, który już od 25 lat promuje rozwiązania liderów branży, takich jak: Check Point, F5 Networks, Juniper czy Forcepoint. KGHM docenia współpracę z SOLIDEX Wieloletnia współpraca z KGHM Polska Miedź S.A. zaowocowała wyróżnieniem naszej Firmy statuetką za dotychczasową współpracę oraz Partnerskie relacje łączące nasze Firmy. Na uroczystej Akademii Jubileuszowej dnia 15 kwietnia 2016 roku w Centrum Kultury Muza w Lubinie w imieniu SOLIDEX wyróżnienie odebrał Dyrektor Rozwoju Sprzedaży Arkadiusz Andrysiewicz. Jesteśmy bardzo dumni z tego wyróżnienia. Mamy nadzieję, że dalsza kooperacja z Centralnym Ośrodkiem Przetwarzania Informacji KGHM będzie przebiegać równie efektywnie i satysfakcjonująco dla obu stron. 4 Integrujemy przyszłość

5 Numer: II/2016 (135) Forum Bezpieczeństwa Banków W dniu 10 maja 2016r. już po raz piąty odbyło się Forum Bezpieczeństwa Banków. SOLIDEX wraz z firmą Check Point Technologies był jednym ze sponsorów tego wydarzenia. Spotkanie cieszyło bardzo dużym zainteresowaniem i zgromadziło prawie 400 gości, którzy skupili się głównie na tematyce bliższej współpracy banków, policji i administracji publicznej w celu przeciwdziałania fraudom. Przez cały czas trwania konferencji SOLIDni EXperci byli do Państwa dyspozycji na naszym stoisku i chętnie odpowiadali na Państwa pytania związane z szeroko pojętym bezpieczeństwem. Bezpieczna sieć we Wrocławiu 16 czerwca br. mieliśmy przyjemność gościć naszych Klientów w Hotelu Granary we Wrocławiu na dedykowanym seminarium. Prelegenci z naszych Partnerskich Firm F5 Networks i Intel Security przedstawili dostarczane przez Solidex rozwiązania z zakresu bezpieczeństwa IT. Konferencja obejmowała dwie prelekcje, które zgłębiały zagadnienia ochrony przed zaawansowanymi atakami ukierunkowanymi na infrastrukturę IT, oraz ochronę przed atakami DDoS. Po części merytorycznej przyszedł też czas na przyjemności wspólne kibicowanie naszej drużynie piłkarskiej w ramach zmagań na Euro 2016 we Francji. Na pewno dzięki naszemu zaangażowaniu udało się utrzymać bezbramkowy remis z obecnymi mistrzami świata ;-) Serdecznie dziękujemy wszystkim Klientom za udział. Biuletyn Informacyjny SOLIDEX 5

6 WYDARZENIA SOLIDEX nagrodzony przez firmę Check Point Podczas dorocznego spotkania Partnerów Check Point Software Technologies Ltd. dnia 2 czerwca 2016 r. nasza firma została uhonorowana statuetką za konsekwencję w działaniu z Check Point. Nagrodę z rąk Country Managera Krzysztofa Wójtowicza odebrał przedstawiciel Zarządu SOLIDEX S.A. CheckPoint Partner Event rozpoczął się częścią merytoryczną podczas której firma przedstawiła swoje nowości technologiczne, rozwiązania i wizję rozwoju i współpracy z Partnerami. W następnej części spotkania zostały rozdane nagrody dla najlepszych Partnerów za rok SOLIDEX współpracuje z firmą Check Point już prawie 2 dekady. Współpraca owocuje coraz bardziej złożonymi technologicznie projektami oraz coraz większą wiedzą technologiczną inżynierów SOLIDEX, która w tym roku została potwierdzona aż trzema certyfikatami Check Point Certified Security Master. Cykl seminariów prezentujących rozwiązania firmy Check Point W lipcu mieliśmy okazję gościć naszych Kluczowych Klientów na serii spotkań zorganizowanych wraz z naszym Partnerem technologicznym firmą Check Point: na Stadionie Energa Gdańsk, w Warszawskim Forcie Sokolnickiego i Poznań Indoor Karting. Wydarzenie poświęcono w całości rozwiązaniom bezpieczeństwa sieciowego Check Point tematyce o dużym znaczeniu dla działalności każdej organizacji w dzisiejszych czasach. 6 Nasi SOLIDni EXperci zaprezentowali najnowsze trendy w dziedzinie: nowe platformy sprzętowe Check Point, Sandblast Agent w praktyce oraz platformę do zarządzania R80. Serdecznie dziękujemy za Państwa aktywny udział. Mamy nadzieję, że omawiane rozwiązania oraz sposób prowadzenia spotkania przypadły Państwu Integrujemy przyszłość do gustu. Do zobaczenia na kolejnych seminariach!

7 Numer: II/2016 (135) SOLIDEX Boat Show zbuduj bezpieczną sieć z SOLIDnymi Expertami Tej wiosny SOLIDEX wraz z Partnerem technologicznym firmą Cisco Systems przygotował dla Państwa serię wyjątkowych spotkań prezentujących rozwiązania bezpieczeństwa Cisco. Wyjątkowych nie tylko ze względu na lokalizację wprowadzające w klimat wakacyjny barki cumujące na największych polskich rzekach - ale również na nadzwyczajny pokaz hackingu na żywo. Prelegenci zaprezentowali rozwiązania Cisco Security - praktyczną implementację wiedzy na temat zagrożeń w infrastrukturze IT oraz Advanced Malware Protection. Wszystkim gościom, którzy uczestniczyli w tym wydarzeniu w Warszawie, Poznaniu i Krakowie dziękujemy za spotkania i czas poświęcony na wymianę doświadczeń dotyczących bezpieczeństwa sieciowego. Biuletyn Informacyjny SOLIDEX 7

8 WYDARZENIA Festiwal Zaczarowanej Piosenki przy wsparciu SOLIDEX W tym roku SOLIDEX miał przyjemność być jednym ze Sponsorów organizowanego corocznie Festiwalu Zaczarowanej Piosenki. Wydarzenie przygotowane przez Fundację Anny Dymnej Mimo Wszystko zgromadziło jak zwykle tysiące Krakowian. SOLIDEX współpracuje z Fundacją Anny Dymnej od rozpoczęcia jej działalności w 2003 roku. Od samego początku wspiera Fundację Mimo Wszystko w codziennej działalności czyli pomocy głównie osobom dorosłym dotkniętym niepełnosprawnością intelektualną. 8 Integrujemy przyszłość

9 Numer: II/2016 (135) Hiperkonwergencja od Cisco - HX Data HyperFlex Cisco HyperFlex hiperkonwergentne rozwiązanie, łączące w sobie zasoby procesora, przestrzeń dyskową (storage) oraz sieć w jedną prostą platformę sprzętową. Rozwiązanie nosi nazwę HX Data Platform. HyperFlex w warstwie software u bazuje na rozwiązaniu SpringPath, a w warstwie sprzętowej na sprawdzonych już serwerach UCS. Dodatkowo w skład rozwiązania wchodzą dwa Interconnecty służące do zarządzania serwerami UCS, które także dostarczają cześć sieciową łączącą poszczególne serwery w klastrze i zapewniają komunikację z pozostałymi elementami w infrastrukturze Data Center. Serwery HyperFlex (Rys. 1) składa się z platformy UCS, a dokładnie z serwerów UCS 220C lub 240C. Obie platformy serwerowe mogą pełnić dwie role: pierwszą jest zapewnienie mocy obliczeniowej (compute), drugą zapewnienie przestrzeni dyskowej (storage). Rozwiązanie pozwala skalować to, czego użytkownik potrzebuje w danej chwili, dlatego - jeśli jest potrzebna tylko moc obliczeniowa - możemy dołożyć serwery blade z rodziny B200 M4. Gdy nowe serwery zostaną dodane, oprogramowanie HyperFlex będzie zrównoważać obciążenie i zajętość dysków Rys. 1 Architektura sprzętowa HyperFlex Biuletyn Informacyjny SOLIDEX 9

10 NOWOŚCI dla całego rozwiązania. Do zbudowania klastra (Rys. 2) są potrzebne minimum 3 serwery, które obecnie mogą być skalowane do 8 serwerów. Cały czas trwają prace, aby środowisko można było skalować do większej ilości serwerów. W Tab. 1 zostały przedstawione parametry serwerów z jakich możemy zbudować klaster Hyper- Flex-owy. Oczywiście, jeśli potrzebujemy tylko mocy obliczeniowej compute, możemy wykorzystać serwery typu blade. Każdy VLAN, który jest używany w klastrze HyperFlex, musi być rozciągnięty na przełączniki Top of rack - TOR. Dla VLANów używanych tylko i wyłącznie w obrębie klastra, ruch nie powinien być dopuszczony do przełączników agregacyjnych. Rys. 2 Software Możliwości klastrowania Na każdym serwerze w klastrze jest instalowana maszyna wirtualna Controller VM. Maszynę tą możemy traktować jako proxy pomiędzy środowiskiem VMware a fizycznym dostępem do zasobów dyskowych zainstalowanych w serwerze. Maszyna wirtualna Controller VM ma bezpośredni dostęp do dysków. Dzięki zainstalowanemu modułowi IOVisor Module w kernelu ESXi, wystawia zasoby dyskowe z wykorzystaniem protokołu NFS do ESX, na których mogą być tworzone VMware owe Data Story. Cecha HX 220C HX 240C Przeznaczenie podstawowa, mała przestrzeń dyskowa duża przestrzeń dyskowa, duża moc obliczeniowa Wielkość RU 1 RU 2 RU Pojemność dyskowa 6 x 1.2 TB HDDs 23 x 1.2 TB HDDs Cache 1 x 480 GB SSD 1 x 1.6 TB SSD Moc obliczeniowa do 2 procesorów w serwerze do 2 procesorów w serwerze Skalowność przestrzeń dyskowa, moc bliczeniowa przestrzeń dyskowa, moc obliczeniowa Tab. 1 Specyfikacja serwerów fizycznych 10 Natomiast dla ruchu produkcyjnego w którym są maszyny wirtualne, VLANy te muszę być dopuszczone do przełączników agregujących. Każdy serwer jest podpięty dwoma interfejsami 10Gb do każdego z Interconnectów (Rys. 3). Podczas instalacji środowiska HyperFlex automatycznie są tworzone wirtualne sieci w celu zapewnienia komunikacji wewnątrz i na zewnątrz klastra. W Tab. 2 zostały wyszczególnione nazwy oraz przeznaczenie sieci, które są tworzone podczas kreowania klastra HyperFlex, natomiast Tab. 3 prezentuje tworzone podsieci wirtualne. Rys. 3 Połączenia fizyczne Integrujemy przyszłość

11 Numer: II/2016 (135) Nazwa hv-mgmt Storage-data vm-network hv-vmotion Rola zarządzanie inband dla VM Dostęp do dysków i replikacja pomiędzy serwerami Dostęp na zewnątrz wykorzystywane przez VM Wykorzystywane przez vmotion Tab. 2 Wirtualne sieci tworzone automatycznie Kolejnym instalowanym modułem w kernelu ESXi jest VAAI (vstorage API s for Array Integration). Dzięki temu modułowi są wykonywane operacje klonowania i kopii migawkowych w trybie offload. Na Rys. 4 przedstawiono komponenty software, które są odpowiedzialne za komunikację pomiędzy serwerami znajdującymi się w klastrze. Koncepcja rozwiązania klastra w przypadku awarii poszczególnego dysku w serwerze lub całego dysku polega na trzymaniu kilku kopii tych samych danych bloków w kilku kopiach na różnych serwerach. Podczas instalacji środowiska musimy zdecydować, w ilu kopiach chcemy trzymać nasze dane. Wartość Replication Factor (RF) ustawiamy dla całego klastra i nie możemy ich zmienić po zainicjowaniu systemu. Domyślna wartość to 3, co oznacza, że mamy 3 kopie każdego bloku danych. Kolejną wartością, jaką możemy ustawić dla klastra, jest Access Policy. W tym przypadku możliwa jest zmiana po uruchomieniu klastra. Mamy dwie Rys. 4 vnic Name hv-mgmt-a, hv-mgmt-b storage-data-a, storage-data-b vm-network-a, vm-network-b hv-vmotion-a, hv-vmotion-b Tab. 3 Interfejsy wirtualne Oprogramowanie instalowane na serwerze w klastrze możliwości: pierwsza z nich to tryb strict, drugi - lenient. Różnicę w zachowaniu klastra widać w sytuacji, gdy zostanie tylko jedna kopia danych. W przypadku ustawienia polityki na strict klaster przejdzie w tryb tylko do odczytu do chwili odbudowaniua Biuletyn Informacyjny SOLIDEX Description ESXi vswitch-hx-inband-mgmt Active vnics: hv-mgmt-a, hv-mgmt-b Standby vnics: None,MTU: 1500 ESXi vswitch-hx-storage data Active vnics: storage-data-a Standby vnics: storage-data-b MTU: 9000 VMKarnel Port Group Controller VM interface MTU ESXi vswitch-hx-vm-network Active vnics: vm-network-a, vm-network-b Standby vnics: None,MTU: 1500 ESXi vmotion Active vnics: hv-vmotion-a, hv-vmotion-b Standby vnics: None,MTU: 9000 przynajmniej dwóch kopii danych. Gdy wybierzemy politykę lenient,klaster pozostanie w trybie zapisu i odczytu mając jedną kopię danych. Klaster HyperFlex sprawdza obciążenie i aktywnie przenosi obciążenie na serwery mniej wykorzystywane. Pliki wirtualnych maszyn są równomiernie rozmieszczane na poszczególne serwery na Rys. 5 (str.12) przedstawiono bloki A-E. Równocześnie odbywa się kopiowanie bloków bazując na ustawieniu Replication Factor (RF) tak, aby na każdym z serwerów były inne bloki. W przypadku awarii dysku lub serwera dostępne bloki A1-E1 są traktowane jako produkcyjne. Jednocześnie z tych bloków są tworzone dodatkowe kopie, aby zapewnić ilość kopi 11

12 NOWOŚCI Rys. 5 Operacje w klastrze zdefiniowanych przez RF. Oczywiście po usunięciu awarii dane zostaną automatycznie rozrzucone na wszystkie serwery w klastrze. Opis powyższego mechanizmu został przedstawiony na Rys. 5. W przypadku dodania kolejnego serwera do klastra proces rebalansowania zasobów również jest automatycznie inicjalizowany. Należy pamiętać, aby dodawać nowe zasoby do klastra wtedy, kiedy środowisko produkcyjne jest najmniej obciążone, gdyż proces ten obciąża klaster i sieć. Podsumowanie Implementacja środowiska w ciągu minut, a nie dni. Elastyczne dopasowanie do wymagań klienta. Oddzielenie warstwy Storage od Compute. Brak wymagań w zakresie dodatkowych elementów sieciowych, gdyż w zestawie są dwa Interconnecty. Zaawansowane usługi zarządzania danymi. Wykorzystanie natywnego szybkiego klonowania dzięki zastosowaniu VAAI. Tworzenie kopii migawkowych bez wpływu na działanie systemu. Zawsze włączona deduplikacja i kompresja danych w trybie inline pozwala na redukcję ich objętości nawet o 80%. Rozwiązanie znakomicie nadaje się do rozwiązań VDI. System został zaprojektowany od podstaw przy założeniu 30 % redukcji kosztów utrzymania TCO oraz o 40% większej wydajności w stosunku do dostępnych na rynku rozwiązań. Opracowano na podstawie oficjalnych materiałów producenta. M.W. 12 Integrujemy przyszłość

13 Numer: II/2016 (135) Nowości w portfolio Juniper Networks Wprowadzenie normy ROHS2 na terenie Unii Europejskiej wymusiło odświeżenie znacznej części portfolio firmy Juniper Networks. Zmiany dotyczą głównie linii przełączników oraz małych firewalli. Poza spełnieniem nowej normy odświeżono ofertę oraz wprowadzono parę innowacyjnych elementów mających zapewnić konkurencyjność na rynku technologii sieciowych i bezpieczeństwa sieciowego. Dyrektywa ROHS2 Założeniem twórców RoHS było wyeliminowanie z urządzeń elektronicznych substancji o dużej szkodliwości dla ludzi i środowiska naturalnego głównie ołowiu ze stopu lutowniczego oraz rtęci. Zakazy dotknęły elektronikę konsumencką i inny podobny sprzęt produkowany masowo bo z uwagi na jego ilość oraz krótki czas użytkowania, oddziaływanie tych urządzeń na środowisko uznano za najsilniejsze i konieczne do zmiany w pierwszej kolejności. Rys. 1 Przełącznik Juniper Networks EX2300 Nowelizacja dyrektywy RoHS, czyli RoHS 2, przyniosła nie tylko wyjaśnienie nieprecyzyjnych zapisów z 2006 roku, ale wprowadziła także dalsze obostrzenia poprzez rozszerzenie Rys. 2 Przełącznik Juniper Networks EX2300-C Biuletyn Informacyjny SOLIDEX 13

14 NOWOŚCI Rys. 3 Wdrożenie przełączników EX2300 przy zastosowaniu technologii Virtual Chassis grup wyrobów objętych zakazami i ograniczenie wyjątków. Dotknęło to w szczególności znacznej grupy urządzeń firmy Juniper Networks. Producent odpowiednio wcześniej zabrał się za odświeżanie swojego portfolio pod względem zgodności z dyrektywą RoHS2, czego efektem jest całkowicie nowa linia przełączników dostępowych EX oraz firewalli SRX. Przełącznik EX2300 Przełącznik EX2300 jest następcą obecnego od 2010 roku w portfolio firmy Juniper Networks modelu EX2200. Jest to najprostszy przełącznik w ofercie tego producenta mający z założenia być wykorzystywany do prostych zastosowań jako przełącznik standalone L2 z podstawowymi funkcjonalnościmi L3. Podstawowa charakterystyka przełącznika EX2300: Wsparcie dla technologii Junos Fusion Enterprise umożliwiające skonfigurowanie przełączników EX2300 jako wyniesione karty liniowe dla przełącznika EX9200 tworząc przy tym jedno logiczne urządzenie Wsparcie dla technologii Virtual Chassis przy wykorzystaniu dodatkowej licencji Uplinki zabudowane 4x 1/10GE SFP/ SFP+ Dostępność modeli 24 i 48 portowych Dostępność kompaktowego, bezwiatrakowego modelu EX2300-C Dostępność modeli z zasilaniem PoE z budżetem mocy 15.4W na każdy port downlink 1GE Wsparcie dla technologii Energy Efficent Ethernet dla portów downlink 1GE Pełen zakres funkcjonalności Layer 2 oraz ograniczony Layer 3 Uproszczone zarządzanie przy wykorzystaniu J-Web GUI oraz Juniper Networks Junos Space Network Director Dostępne modele przełącznika EX2300 przedstawiono w Tab. 1 a wygląd przykładowych modeli pełnowymiarowego i kompaktowego przedstawiono na Rys.: 1 i 2 (str. 13). Model Porty downlink 10/100/1000 Base-T Porty uplink 1/10 GE SFP/ SFP+ Porty PoE/PoE+ Budżet zasilania PoE/PoE+ Chłodzenie Zasilanie EX T x Fixed, AFO Wewnętrzne AC EX P W 2x Fixed, AFO Wewnętrzne AC EX T-DC x Fixed, AFO Wewnętrzne DC EX T x Fixed, AFO Wewnętrzne AC EX P W 2x Fixed, AFO Wewnętrzne AC EX T-DC x Fixed, AFO Wewnętrzne DC EX2300-C-12T pasywne Zewnętrzne DC EX2300-C-12P W pasywne Zewnętrzne DC Tab. 1 Dostępne modele przełączników Juniper Networks EX Integrujemy przyszłość

15 Numer: II/2016 (135) Model Porty downlink 10/100/1000 Base-T Porty uplink 1/10 GE SFP/SFP+ Porty uplink 40GE QSFP+ Porty PoE/ PoE+ Budżet zasilania PoE/PoE+ EX T EX P W/720W EX T-DC EX T EX P W/1440W EX T-AFI Chłodzenie 2x Hot-Swap AFO 2x Hot-Swap AFO 2x Hot-Swap AFO 2x Hot-Swap AFO 2x Hot-Swap AFO 2x Hot-Swap AFI Zasilanie Dual Hot-Swap AC Dual Hot-Swap AC Dual Hot-Swap DC Dual Hot-Swap AC Dual Hot-Swap AC Dual Hot-Swap AC Tab. 2 Dostępne modele przełącznika Juniper Networks EX3400 W porównaniu do modelu EX2200 główną zmianą w architekturze fizycznej jest zmiana standardu portów uplink z 4x1GE SFP do 4x 1/10GE SFP/ SFP+. Z punktu widzenia funkcjonalności nastąpiły dwie zmiany: wsparcie dla technologii Virtual Chassis (Rys. 3) jest obecnie licencjonowane oraz pojawiło się wsparcie dla długo zapowiadanej technologii Junos Fusion Enterprise. Licencjonowanie technologii Virtual Chassis wydaje się racjonalnie uzasadnione w związku z tym, że w EX2200 była wykorzystywana w znikomym stopniu, a sam przełącznik EX2300 pozycjonowany jest raczej do prostych rozwiązań standalone. Z pewnością rekompensuje tą zmianę wsparcie dla technologii Junos Fusion, która może być ciekawą propozycją dla średniej wielkości sieci kampusowych. Przełącznik EX3400 Podstawowa charakterystyka przełącznika EX3400: Wsparcie dla technologii Junos Fusion Enterprise (Rys. 6, str. 16) umożliwiające skonfigurowanie przełączników EX3400 jako wyniesione karty liniowe dla przełącznika EX9200 tworząc przy tym jedno logiczne urządzenie Wsparcie dla technologii Virtual Chassis do 10 przełączników w stosie Uplinki zabudowane 4x 1/10GE SFP/ SFP+ oraz 2x 40GE QSFP+ Dostępność modeli 24 i 48 portowych Dostępność modeli ze standardowym i odwróconym przepływem powietrza umożliwiającym zastosowanie w centrach przetwarzania danych Dostępność modeli z zasilaniem PoE/PoE+ z budżetem mocy 15.4W na każdy port downlink 1GE Dwa redundantne, wyjmowane na gorąco zasilacze dostarczające 920W mocy każdy Wsparcie dla technologii Energy Efficent Ethernet dla portów downlink 1GE Pełen zakres funkcjonalności Layer 2 oraz ograniczony Layer 3 Możliwość rozbudowy o pełen zakres funkcjonalności Layer 3 przy zastoswaniu licencji Enhanced Uproszczone zarządzanie przy wykorzystniu J-Web GUI oraz Juniper Networks Junos Space Network Director. Przełącznik EX3400 jest następcą obecnego od 2011 roku w portfolio firmy Juniper Networks modelu EX3300. Jest to podstawowy przełącznik w ofercie tego Producenta mającym z założenia być wykorzystany jako przełącznik dostępowy L2/L3 z możliwością łączenia w stos Virtual Chassis do 10 przełączników. Rys. 4 Rys. 5 Przełącznik Juniper Networks EX3400 przód Przełącznik Juniper Networks EX3400 tył Biuletyn Informacyjny SOLIDEX 15

16 NOWOŚCI SRX300 SRX320 SRX340 SRX345 Porty zabudowane 8x1GE 8x1GE 16x1GE 16x1GE Porty zabudowane RJ Porty zabudowane SFP Porty MACsec Routing/firewall 64B [kpps] 200 kpps 200 kpps 350 kpps 550 kpps Routing/firewall IMIX [Mbps] 500 Mbps 500 Mbps 1000 Mbps 1700 Mbps Routing/firwall 1518B [Gbps] 1 Gbps 1 Gbps 3 Gbps 5 Gbps IPsec VPN IMIX [Mbps] 100 Mbps 100 Mbps 200 Mbps 300 Mbps IPsec VPN 1400B [Mbps] 300 Mbps 300 Mbps 600 Mbps 800 Mbps Tablica routingu RIB/FIB 256k/256k 256k/256k 1M/600k 1M/600k Tab. 3 Dostępne modele firewalli Juniper Networks SRX300 Firewalle SRX 16 Rys. 6 Wdrożenie przełączników EX3400 w technologii Junos Fusion Dostępne modele przełącznika EX3400 zostały przedstawione w Tab. 2, a wygląd przykładowego modelu z widokiem z przodu i z tyłu na Rys.: 4 i 5 (str. 15). W porównaniu do modelu EX3300 główną zmianą w architekturze fizycznej modelu EX3400 jest wyposażenie przełącznika w podwójne, wyjmowane na gorąco zasilacze oraz zastosowanie obok uplinków 4x 1/10GE SFP/SFP+ dwóch uplinków 2x 40GE QSFP+. Umożliwia to rezygnację z dodatkowych zewnętrznych zasilaczy RPS, które zapewniały nam ciągłość pracy w przypadku awarii wbudowanego zasilacza. Dodatkowe porty umożliwiają wykorzystanie wszystkich czterech portów 10GE jako uplinki, podczas gdy porty 40GE służą nam w typowym zastosowaniu jako porty VPC pod Virtual Chassis. Rys. 7 Firewalle Juniper Networks SRX300 Integrujemy przyszłość Portfolio firewalli Juniper Networks jeszcze do niedawna było całkiem rozbudowane, składało się z trzynastu modeli, w tym siedmiu modeli klasy Branch (SRX100, SRX110, SRX210, SRX220, SRX240, SRX550, SRX650) oraz sześciu modeli klasy High-End (SRX1400, SRX3400, SRX3600, SRX5400, SRX5600, SRX5800). Wprowadzenie normy ROHS2 wymusiło wycofanie z portfolio firewall aż dziewięciu modeli (SRX100, SRX110, SRX210, SRX220, SRX240, SRX650, SRX1400, SRX3400, SRX3600). Warto przy tym zauważyć, że modele te nie są wycofane przez Producenta ze sprzedaży w skali globalnej, tylko ograniczony jest obrót nowymi produktami na terenie Unii Europejskiej. Nie znany jest jeszcze koniec życia tych modeli, więc dotychczasowi Klienci mogą z tych

17 Numer: II/2016 (135) Rys. 8 Portfolio firewalli SRX firmy Juniper Networks po wprowadzeniu normy RoHS2 produktów korzystać i bez problemu przedłużać na nie kontrakt serwisowy. Do portfolio firewall Juniper Networks wprowadzono pięć nowych modeli: SRX300, SRX320, SRX340, SRX345 oraz SRX1500. Obecne portfolio security firmy Juniper Networks zostało przedstawione na Rys. 8. Dostępne modele firewalli SRX300 przedstawiono na Rys. 7, a ich podstawowe parametry zestawiono w Tab. 3. Firewalle SRX300 są ciekawą propozycją jako urządzenia typu branch office realizujące jednocześnie funkcjonalność routera, firewalla jak i przełącznika. Skok wydajności w porównaniu z poprzednią linią urządzeń jest znaczący, a Klienci przyzwyczajeni do możliwości systemu operacyjnego Junos - szczególnie w kontekście wirtualizacji i realizacji zaawansowanego routingu - przyjmą nowe urządzenia z nieskrywanym zadowoleniem. Opracowano na podstawie oficjalnych materiałów producenta. B.M. Biuletyn Informacyjny SOLIDEX 17

18 NOWOŚCI SDN w wydaniu Vmware NSX W obecnych czasach przedsiębiorstwa zdają sobie sprawę z benefitów jakie daje wirtualizacja serwerów. Główne zalety to możliwość uruchomienia kilku wirtualnych maszyn na jednym serwerze fizycznym, ograniczenie kosztów zakupu nowych serwerów, redukcję kosztów zasilania i chłodzenia oraz lepsze wykorzystanie mocy obliczeniowej serwerów. Na czym polega SDN oraz SDDC? Głównym założeniem sieci SDN (Software Defined Network) jest separacja płaszczyzny sterowania od płaszczyzny danych, co prowadzi do centralizacji funkcji sterowania. Jest to podejście odmienne od stosowanego do tej pory, gdzie logika odpowiedzialna za funkcjonowanie całej infrastruktury jest rozproszona na poszczególne urządzenia sieciowe odpowiedzialne za transport ramek/ pakietów. Definiowane programowo centrum przetwarzania danych SDDC (Software-Defined Data Center) oznacza DC, w którym cała infrastruktura jest zwirtualizowana i oferowana jako usługi. Wirtualizacja serwerów pozwala także zadbać o wysoką dostępność aplikacji dzięki mechanizmom klastrowania oraz funkcjonalnościom takim jak vmotion, Storage vmotion, Fault Tolerant, Snapshot, Replikacja. Jednakże sieci LAN w Data Center pozostają od lat w niezmienionej, skomplikowanej i złożonej formie nie wykorzystując potencjału jaki daje wirtualizacja. Co to jest Vmware NSX? Jest to platforma do wirtualizacji sieci w SDDC (Software Defined Data Center). Realizuje funkcje sieciowe połączone z zaawansowanymi mechanizmami bezpieczeństwa które zwykle Rys. 1 Architektura platformy Vmware NSX zaimplementowane są na fizycznym sprzęcie, bezpośrednio w warstwie hypervisor-a. NSX umożliwia odtworzenie całego środowiska sieciowego w warstwie wirtualnej i może działać na każdej istniejącej fizycznej sieci, niezależnie od posiadanego sprzętu. Potrafi realizować switching, routing, 18 Integrujemy przyszłość

19 Numer: II/2016 (135) trzeciej. Dzięki takiemu podejściu możemy wyeliminować wyżej wymienione problemy. Korzyści protokołu VXLAN Rys. 2 Ramka VXLAN firewalling, load balancing, VPN, QoS, oraz monitoring infrastruktury. Architektura rozwiązania Platforma NSX składa się z trzech komponentów: data plane, control plane i management plane (Rys. 1). Management Plane realizowany jest poprzez NSX Manager-a, Control Plane poprzez klaster NSX kontrolerów a Data Plane bezpośrednio na hostach ESXi. NSX Manager oraz kontrolery, uruchamiane są w postaci maszyn wirtualnych i nie wymagają oddzielnego sprzętu. Wyzwania współczesnej sieci w DC segmentacja sieci na wielu tenantów z pokrywającą się adresacją IP rozciąganie warstwy drugiej pomiędzy centrami danych w celu migracji maszyn wirtualnych problemy z wydajnością, ruchem BUM (Broadcast, Unknown unicast and Multicast) oraz protokołem STP w dużych domenach L2 rozciągniętych pomiędzy wieloma DC Vmware NSX działa jako technologia overlay oparta na protokole VXLAN (Virtual extensible Local Area Network), który enkapsuluje ruch w warstwie drugiej do warstwy Korzyści jakie daje protokół: możliwość tworzenia sieci dla wielu tenantów z pokrywającymi się adresami IP łatwe rozciąganie warstwy drugiej na potrzeby vmotion niezależnie od fizycznej sieci eliminowanie limitów tablic adresów MAC w fizycznych przełącznikach. VXLAN umożliwia stworzenie do 16 milionów wirtualnych sieci w odniesieniu do limitu 4094 dla tradycyjnych VLAN-ów Budowę ramki VXLAN prezentuje Rys. 2., natomiast Rys. 3 przedstawia proces ustanowienia komunikacji w warstwie drugiej pomiędzy dwoma maszynami wirtualnymi znajdującymi się na różnych hostach Esxi wykorzystując technologię overlay VXLAN. Poniżej zostały kolejno zaprezentowanie kluczowe funkcjonalności platformy Vmware NSX w wybranych obszarach. Switching (Logical Switch) Logiczne sieci L2 które mogą być rozciągnięte pomiędzy wieloma DC Rys. 3 Komunikacja VXLAN Biuletyn Informacyjny SOLIDEX 19

20 NOWOŚCI hair pinning (zawijanie ruchu na zewnątrz), co przedstawia Rys. 6. Dzięki DLR w przypadku komunikacji dwóch maszyn wirtualnych z innych segmentów sieci znajdujących się na tym samym hoście Esxi, routing odbywa się lokalnie i ruch nie wychodzi poza fizyczny serwer. NSX Edge Services Gateway Rys. 4 Rys. 5 Logical Switch Distibuted Logical Router poprzez routowalną sieć L3 wykorzystując protokół VXLAN. Możliwe jest tworzenie domen L2 z pokrywającą się adresacją dla wielu tenantów (Rys. 4) Routing (Distributed Logical Router DLR) moduł w kernelu każdego hypervisor-a. DLR umożliwia także Bridging czyli mapowanie sieci wirtualnych opartych na protokole VXLAN do tradycyjnych VLAN-ów działających na fizycznych przełącznikach. W tradycyjnym środowisku bez NSX routing pomiędzy maszynami wirtualnymi realizowany jest przeważnie przez fizyczny router, przełącznik lub firewall. Konsekwencją takiego podejścia jest zjawisko zwane Jego głównym zadaniem jest połączenie sieci fizycznej (Rys. 7) z siecią wirtualną oraz dostarczanie różnych usług sieciowych takich jak: Routing and Network Address Translation (NAT) Firewall Load Balancing L2 and L3 Virtual Private Networks (VPNs) DHCP, DNS and IP address management (DDI) VXLAN VLAN bridging Distributed Firewalling (DFW) NSX posiada wbudowanego pełno stanowego firewalla zaimplementowanego w kernelu każdego hypervisora osiągającego wydajność 20 Gbps per fizyczny host. 20 DLR to rozproszony na wszystkie hosty router. Zbudowany jest z warstwy control plane i data plane (Rys. 5). Za control plane odpowiedzialna jest maszyna wirtualna (Control VM - dwie dla redundancji). Odpowiada za obsługę dynamicznych protokołów routingu takich jak BGP czy OSPF. Trasy nauczone przez control plane są wstrzykiwane do każdego hosta. Data plane obsługiwany jest przez Rys. 6 Hair pinning Integrujemy przyszłość

21 Numer: II/2016 (135) Dzięki NSX DFW możemy wymusić polityki bezpieczeństwa schodząc do poziomu karty sieciowej maszyny wirtualnej. Zapewnia to znakomitą możliwość mikrosegmentacji. Polityki są centralnie zarządzane i tworzone z jednego miejsca w konsoli webowej vcenter (Rys. 8). Dzięki API oraz modułowi service insertion możemy zintegrować i przekierować ruch do rozwiązań firm trzecich ( np. Checkpoint, Fortinet, PaloAlto, Trend- Micro) w celu głębszej inspekcji. Reguły firewall-a mogą bazować na elementach od warstwy 2 do warstwy 4 oraz do warstwy 7 w przypadku integracji z innymi producentami zapór sieciowych. W przypadku przeniesienia maszyny wirtualnej na innego hosta, polityki i tablica stanu sesji podążają za maszyną wirtualną. Rys. 7 NSX Edge Load Balancing L4-L7 load balancer z możliwością SSL-offload. Uruchamiany jest na komponencie NSX Edge. Główne funkcjonalności komponentu to: wsparcie dla aplikacji działających na TCP oraz UDP wiele algorytmów rozkładania obciążenia: round-robin, least connections, source IP hash, URI wiele mechanizmów sprawdzania stanu aplikacji: TCP, HTTP, HTTPS włącznie z inspekcją zawartości persistence: Source IP, MSRDP, cookie, ssl session-id limitowanie ilości połączeń: maksymalna ilość połączeń oraz maksymalna ilość połączeń na sekundę manipulacja L7: URL block, URL rewrite, content rewrite SSL ofload możliwość integracji z Load Balancerami 3-rd party (np. F5). Rys. 8 Rys. 9 Distributed Firewall VPN Biuletyn Informacyjny SOLIDEX 21

22 NOWOŚCI VPN 22 Możliwość konfiguracji L2 VPN, L3 VPN oraz SSL VPN obrazuje Rys. 9 (str. 21). NSX Cross vcenter W środowiskach z wieloma lokalizacjami posiadającymi własną instancję vcenter, NSX umożliwia rozciągnięcie fabryki pomiędzy nimi (Rys. 10). Umożliwia to łatwe przenoszenie VM pomiędzy lokalizacjami bez potrzeby zmian parametrów sieciowych oraz polityk bezpieczeństwa. NSX Manager z każdej lokalizacji synchronizuje obiekty i konfiguracje z głównym NSX Managerem który pełni rolę Primary. Pozostałe NSX Manager-y widnieją jako Secondary. Dzięki takiemu połączeniu możemy centralnie zarządzać całą siecią, politykami bezpieczeństwa oraz monitoringiem. Licencjonowanie i wersje produktu Vmware NSX występuje w trzech edycjach: STANDARD, ADVANCED i ENTERPRISE. Licencjonowany jest per fizyczny procesor w hostach ESXi. Tabela (Tab. 1) przedstawia funkcjonalności jakie są dostępne w każdej wersji. Podsumowanie Vmware NSX to platforma, która wnosi prostotę zarządzania, elastyczność, wydajność oraz skalowalność. Wraz z możliwościami tworzenia logicznych sieci na żądanie, opierając się na protokole VXLAN, dzięki NSX Edge Services Gateway dostarcza typowe usługi wykorzystywanie w DC takie jak DHCP, DNS, NAT, Load Balancing, Firewall. Wirtualizacja sieci to pełna reprodukcja sieci fizycznej w ramach oprogramowania. Sieci wirtualne oferują te same funkcje i gwarancje, co sieci fizyczne, ale wiążą Rys. 10 Cross vcenter pomiędzy dwoma lokalizacjami się z niższymi kosztami operacyjnymi i większą niezależnością od sprzętu wynikającą z wirtualizacji. Ponadto zapewniają szybkie przydzielanie zasobów, niepowodujące przerw w działaniu wdrażanie, automatyczną Integrujemy przyszłość STANDART ADVANCED ENTERPRISE Distributed switching and routing NSX Edge firewall NAT Software L2 bridging to phisical environment Dynamic routing with ECMP (active-active) API-driven automation Integration with vrealize and OpenStack Log managment with vrealize Log Insight Automation of security policies with vrealize NSX Edge load balancing Distributed firewalling Integration with Active Directory Server activity monitoring Service insertion (third-party integration) Integration with VMware AirWatch Cross vcenter NSX Multisite NSX optimizations VPN (IPSEC and SSL) Remote gateway Integration with hardware VTEPs Tab. 1 Wersje produktu konserwację oraz obsługę zarówno starszych, jak i nowych aplikacji. Opracowano na podstawie oficjalnych materiałów producenta. M.Ch.

23 Numer: II/2016 (135) Arista producent innowacyjnych rozwiązań Niewiele ponad dekadę w przemyśle sieci komputerowych, a firma już zaskakuje wydajnością swoich rozwiązań oraz szeroką gamą produktów skierowanych do posiadaczy dużych środowisk Data Center. Udało się to osiągnąć poprzez korzystanie z nowoczesnych układów ASIC, stworzenie oprogramowania ułatwiającego zarządzanie oraz autorski, rozszerzaly system operacyjny Extensible Operating System, EOS. Arista Networks Firma założona w 2004 roku, z Centralą w Santa Clara w Kalifornii. Specjalizacją Firmy jest dostarczanie wielowarstwowych przełączników nowej generacji zgodnych z założeniami SDN (Software-Defined Networking). Przełączniki Aristy charakteryzują się bardzo niskimi opóźnieniami, w granicach 500 µs, niewielkim zużyciem energii wynoszącym poniżej 1W per port oraz dużym zagęszczeniem interfejsów przypadających na 1RU. W 2012 roku powyższe zalety uplasowały model 7124SX (Rys.1) na pierwszej pozycji w rankingu najszybszych przełączników. Hardware Jak wcześniej zostało wspomniane, urządzenia firmy Arista znajdują zastosowanie szczególnie w dużych centrach danych, aczkolwiek mogą być stosowane również w sieciach kampusowych. W ofercie znajdują się zarówno małe przełączniki o wielkości 1RU, jak i duże, skalowalne switche o modularnej konstrukcji. Producent podzielił swoje produkty na 10 rodzin urządzeń, z których najważniejsze zostały przedstawione na Rys. 3 (str. 24). To nie koniec sukcesów na międzynarodowej arenie, ponieważ rok później Arista została wyróżniona uzyskując pierwsze miejsce Innovation Awards 2013 w kategorii rozwiązań Cloud/ Datacenter (Rys. 2, str. 24). Rys. 1 Przełącznik dostępowy Arista 7124SX Biuletyn Informacyjny SOLIDEX 23

24 TECHNOLOGIE Rys. 2 Nagroda dla Arista Networks 7500 E Series Przełączniki charakteryzują się dużą ilością portów o różnych konfiguracjach przepustowości. Ciekawostką są wysokie osiągi urządzeń nawet w przypadku najniższych modeli. Przykładowo modele 7010 oraz 7048T osiągają przepustowości na poziomie 176Gbps, model 7050X jest w stanie przetwarzać dane z prędkością 2,56Tbps, a rodzina 7500R osiąga prawie 10Tbps przypadające na jedną kartę liniową przełącznika. Te parametry powodują, że przełączniki Aristy z powodzeniem konkurują z pozostałymi wiodącymi dostawcami tej kategorii urządzeń. EOS czyli Extensible Operating System Swoją wysoką pozycję na rynku rozwiązań sieciowych Arista utrzymuje nie tylko dzięki urządzeniom omówionym w poprzednim akapicie, ale także dzięki swojemu własnemu, innowacyjnemu systemowi operacyjnemu, który jest instalowany w tej samej wersji na wszystkich modelach urządzeń. Firmowy EOS jest dziełem w całości opartym na niezmodyfikowanym jądrze systemu Linux Fedora. To co wyróżnia go pośród innych jest podział oprogramowania przełącznika na ponad 100 osobnych procesów, które nie komunikują się ze sobą bezpośrednio, lecz wymieniają dane poprzez centralne repozytorium. Pozwala to uprościć projektowanie logicznej współpracy pomiędzy procesami oraz uniknąć kłopotliwych zależności przy wprowadzaniu zmian w poszczególnych logicznych częściach systemu.dodatkowo każdy z tych procesów ma własnego agenta do obsługi konkretnej funkcjonalności urządzenia. W rezultacie uzyskujemy odseparowanie od siebie wszystkich aktywnych protokołów i funkcji co niesie za sobą dużo większe możliwości uniknięcia problemów wynikających z winy oprogramowania, niż w przypadku systemów operacyjnych, w których procesy komunikują się bezpośrednio między sobą. Przykładowo, gdy program pewnego procesu ulegnie awarii, to użytkownik traci możliwość korzystania tylko z danej funkcji, a nie całego urządzenia. Na tym nie koniec korzyści, ponieważ dzięki temu architektura systemu operacyjnego znacząco upraszcza zrealizowanie funkcjonalności ISSU (In-Service Software Upgrade), czyli możliwości instalacji aktualizacji oprogramowania w trakcie działania urządzenia. Jest to bardzo duże udogodnienie dla użytkowników, którzy Rys. 3 Portfolio produktów Arista Networks 24 Integrujemy przyszłość

25 Numer: II/2016 (135) Mechanizm CloudVision, który jest częścią EOS a, rozszerza standardowe CLI poprzez użycie XMPP jako wspólną magistralę poleceń do zarządzania i konfigurowania urządzeń (Rys. 4). Ta funkcjonalność została zaimplementowana poprzez integrację istniejącej biblioteki open-source Python a XMPP z CLI. Efektem jest rozwiązanie, które centralizuje logikę zarządzania działaniem sieci oraz jest punktem styku do zewnętrznej integracji ze środowiskiem hypervisor ów oraz środowiskiem Software-Defined Networking. Rys. 4 nie mogą, bądź nie chcą pozwolić na przerywanie działania urządzenia. Ze względu na to, że EOS działa w oparciu o system Linux, posiada możliwość jego programowania oraz użycia typowych dla systemu Linux narzędzi np. tcpdump czy też implementacji skryptów. System operacyjny Aristy zapewnia dopracowane API do komunikacji i kontroli pracy przełącznika. Zarządzanie może się także odbywać poprzez autorske rozwiązanie CloudVision. Rys. 5 Arista s Universal Cloud Network Zero Touch Provisioning CloudVision automatyzacja provisioningu i zarządzania Zaprojektowanie wysoce dostępnego oraz odpornego na błędy systemu operacyjnego było dla Aristy pierwszym etapem budowy rozwiązania pozwalającego na automatyzację procesów wdrażania i zarządzania siecią. Biorąc pod uwagę to, że środowiska Data Center, w których najczęściej stosowane są omawiane rozwiązania zawiera dziesiątki czy setki urządzeń z tysiącami portów, proces wdrażania, konfigurowania i zarządzania stanowi nie lada wyzwanie. CloudVision jest ważnym elementem modelu stanowej bazy danych, zwanej SysDB, która pośredniczy w wymianie informacji pomiędzy aktywnymi procesami składającymi się na pracę EOS a. W rezultacie SysDB odbiera oraz przetrzymuje wszystkie informacje o stanie urządzenia, np. konfigurację, topologię sieci, stany protokołów itd. Posiadanie tych informacji daje możliwość użycia ich w celu zmiany stanu urządzenia. Jednym z udogodnień jest Zero Touch Provisioning (Rys. 5), które Arista wprowadziła na rynku rozwiązań sieciowych jako jedna z pierwszych. Dzięki dostępowi do informacji na temat urządzeń oraz ZTP, użytkownik może automatycznie dostarczyć wygenerowaną wcześniej konfigurację/skrypt bez udziału człowieka. Istnieje także możliwość ręcznego zarządzania konfiguracją na dowolnym urządzeniu. Wszystkie powyższe funkcje są obsługiwane przez tylko jedno narzędzie nazywane Network Provisioning Portal (Rys. 6), gdzie administrator ma także możliwość stworzenia diagramu logicznej topologii sieci, co dodatkowo ułatwia zarządzanie. Rys. 6 Network Provisioning Portal Biuletyn Informacyjny SOLIDEX Opracowano na podstawie oficjalnych materiałów producenta. D.Z. 25

26 TECHNOLOGIE Przełączniki Przemysłowe Cisco (Cisco Industrial Ethernet Switch) W związku z rozwojem Smart City i Internet of Things (IoT) przemysłu budowlanego czy transportu rośnie zapotrzebowanie na sprzęt niestandardowy - tzn. mogący pracować w niskich lub wysokich temperaturach, będąc odpornym na pyły, wilgoć, uderzenia - ale jednocześnie sprzęt, niezawodny, który będzie pracował w zgodzie z ogólnie przyjętymi normami i standardami sprzęt, na którym można uruchomić i świadczyć różnego rodzaju usługi. To wszystko przy jednoczesnej łatwości konfiguracji i wysokiej jakości mechanizmach bezpieczeństwa swoich użytkowników. Cisco Industrial Ethernet Switch Tu z pomocą przychodzi firma Cisco, w której ofercie można znaleźć Cisco Industrial Ethernet Switch czyli przełączniki przemysłowe. Przełączniki te znalazły zastosowanie w m.in.: Inteligentne miasta Internet Rzeczy Inteligentne systemy transportowe Automatyka przemysłowa Przemysł wydobywczy Funkcje nadzoru i monitoring Przemysłowe przełączniki sieciowe to mieszanka niezawodności i dostępu do wysokiej jakości technologii. Z pomocą tych przełączników jesteśmy w stanie szybko skalować swoją sieć w trudno dostępnych punktach końcowych, przy jednoczesnym zachowaniu bezpieczeństwa i odporności na różne zakłócenia - równocześnie monitorując naszą sieć. Główne korzyści: wysoka jakość wykonania odporność na warunki zewnętrzne niezawodność skalowalność sieci łatwość instalacji niezawodny system operacyjny IOS (jednolity z innymi przełącznikami Cisco) monitorowanie parametrów urządzenia w czasie rzeczywistym bezpieczeństwo urządzenia i użytkowników zasilanie innych urządzeń przez porty PoE Do przedstawicieli przemysłowych przełączników należą: Cisco IE 1000 Cisco IE 2000 Cisco IE 3000 Cisco IE 4000 Cisco IE 4010 Cisco IE Integrujemy przyszłość

27 Numer: II/2016 (135) Hardware "RAM: 128 MB Flash 160 MB " Porty 4,8,16* Fast Eethernet Uplink 1-2* SFP Uplink 2* PoE 4-8* Temperatura Pracy -40C** do 70C** "Stopień ochrony International Protection IP30 Rating " L3 (RIP, OSPF, EIGRP, VRF Lite), EtherChannel bezpieczeństwo SSH, Radius, TACACS+, SNMPv3, port security, 802.1x, Strom Control zasilanie redundantne zasilacze; zasilanie PoE w zależności od modelu miejsce na kartę SD port mini-usb Tab. 1 Parametry serii 1000; *- w zależności od modelu,** - w zależności od miejsca instalacji Cisco Industrial Ethernet 2000 Series Switches Przemysłowe przełączniki serii 2000 to przełączniki o kompaktowych rozmiarach, wzmocnionej konstrukcji oraz funkcjach dostępowych, które obsługują bezpieczeństwo, głos i wideo w sieciach przemysłowych. Przełączniki serii 2000 posiadają trzy typy licencji w zależności od modelu: LAN Lite LAN Base Enhanced LAN Base Rys.1 Cisco IE 1000 Przełącznik serii Cisco IE 2000 przedstawiono na Rys. 2, a w Tab. 2 zebrano najważniejsze jego parametry. Cisco Industrial Ethernet 1000 Series Switches Łatwo instalowany i zarządzany przełącznik przemysłowy warstwy 2. Przełączniki Cisco IE serii 1000 zostały zaprojektowane z myślą o niskich kosztach, małej liczbie portów i małych rozmiarach. Rys. 1 przedstawia przełącznik serii Cisco IE 1000, a w Tab. 1 przedstawiono wybrane parametry tego przełącznika. Główne cechy i funkcjonalności: uruchamianie bardzo szybki czas uruchomienia, tylko do 30s zarządzanie Web Gui, SNMP, Syslog zabezpieczenia port security, secure access funkcjonalności VLAN, STP, MST, LACP, Port Access Authentication zasilanie redundantne zasilacze zasilanie PoE od 4 do 8 portów Główne cechy i funkcjonalności: uruchamianie bardzo szybki czas uruchomienia (do 60 sekund) zarządzanie Auto SmartPort, Web Manager, Telnet, HTTPS, SNMP, CNA, Cisco Prime Infrastructure funkcjonalności NAT, routing Tab. 2 Rys.2 Cisco IE 2000 "RAM: 256 MB Hardware Karta Flash 1GB SD Flash 64 MB " Porty 1-20* Fast Eethernet Uplink 4,8,16* SFP Uplink 2-4* Maksymalna prędkość przełączania 7,8 Gbps Maksymalna prędkość przekazywania 3,6 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony International Protection IP30 Rating " Parametry Cisco IE 2000; *- w zależności od modelu,** -w zależności od miejsca Biuletyn Informacyjny SOLIDEX 27

28 TECHNOLOGIE Tab. 3 Hardware "RAM: 128 MB Flash 64 MB " Porty 4 26* SFP Uplink 2* Moduł rozszerzający Do 26 portów Fast Ethernet Maksymalna prędkość przełączania 16 Gbps Maksymalna prędkość przekazywania 6,5 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony International Protection IP20 Rating " Parametry Cisco IE 3000; * -w zależności od modelu,** -w zależności od miejsca instalacji - RIP, OSPF, EIGRP, VRF Lite, PIM- SM, PIM-DM, PIM sparse-dense mode zasilanie redundantne zasilacze zasilanie PoE w zalezności od modelu. Przełączniki serii 3000 posiadają dwa typy licencji w zależności od modelu: LAN Base i IP Services. (Rys. 4) jest niewielkich rozmiarów, co ułatwia instalację w trudnych miejscach. Wybrane parametry przełącznika Cisco IE 4000 przedstawiono w Tab. 4. Główne cechy i funkcjonalności: zarządzanie CDM, CNA, Cisco Prime, SSH, Telnet, SNMP, Digital Optical Management warstwa 2 - VTPv2, NTP, UDLD, CDP, LLDP funkcjonalności* QoS, Ether- Channel LACP, IGMPv3,NAT bezpieczeństwo* - SCP, SSH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VLAN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing Rys.3 Cisco IE 3000 Cisco Industrial Ethernet 3000 Series Switches Przełączniki przemysłowe serii 3000 (Rys. 3, Tab. 3) to rodzina przełączników, które pracują w warstwie L2 i L3 posiadają solidne zabezpieczenia i innowacyjne rozwiązania oparte o Cisco IOS. Główne cechy i funkcjonalności: zarządzanie CDM, CNA, Cisco Prime, SSH, Telnet, SNMP funkcjonalności* QoS, Ether- Channel LACP, HSRP, IGMPv3, NAT; bezpieczeństwo (w zależności od licencji) - SSH, Radius, TACACS+, SNMPv3, port security, 802.1x, Strom Control routing L3 (w zależności od licencji) Cisco Industrial Ethernet 4000 Series Switches Przełączniki przemysłowe serii 4000 to najnowszy dodatek w portfolio przemysłowych przełączników firmy Cisco. Posiadają wzmocnioną konstrukcję i zapewniają doskonałe parametry pracy również w oparciu o Cisco IOS. Przełącznik serii 4000 Tab. 4 Rys.4 Cisco IE 4000 "RAM: 1GB MB Hardware Flash 128 MB Karta SD 1GB" Porty 8 20* SFP Uplink 4-8* Przełączanie bez blokowania 40 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 75C** "Stopień ochrony International Protection IP30 Rating " Parametry Cisco IE 4000; *- w zależności od modelu,** - w zależności od miejsca instalacji 28 Integrujemy przyszłość

29 Numer: II/2016 (135) (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode zasilanie redundantne zasilacze zasilanie PoE w zależności od modelu miejsce na kartę SD port mini-usb *w zależności od licencji Przełączniki serii 4000 (a także opisanych poniżej 4010 i 5000) również posiadają dwa typy licencji w zależności od modelu: LAN Base oraz IP Services. Cisco Industrial Ethernet 4010 Series Switches Przełączniki przemysłowe serii 4010 (Rys. 5) posiadają 28 interfejsów Gigabit Ethernet, co czyni je doskonałymi wyborem jako przełączniki dostępowe pracujące w trudnych warunkach. Przełączniki tej serii montowane są w szafach teleinformatycznych i pracują w warstwie L2 i L3. Posiadają web GUI oparte o Express Setup co zapewnia łatwość konfiguracji. Wybrane parametry tej serii przedstawia Tab. 5. Główne cechy i funkcjonalności: zarządzanie CDM, CNA, Cisco Prime, SSH, Telnet, SNMP, Digital Optical Management warstwa 2 - VTPv2, NTP, UDLD, CDP, LLDP funkcjonalności* QoS, Ether- Channel LACP, IGMPv3,NAT bezpieczeństwo* - SCP, SSH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VLAN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing Rys. 5 Cisco IE 4010 Tab. 5 "RAM: 1GB MB Hardware Flash 256 MB Karta SD 1GB" Porty 12 28* SFP Uplink 4 SFP Ethernet 12* Maksymalna prędkość przełączania 56 Gbps Maksymalna prędkość przekazywania 28 Gbps PoE PoE lub PoE+* Temperatura Pracy -40C** do 75C** "Stopień ochrony International Protection IP30 Rating " Parametry serii 4010; *w zależności od modelu,** w zależności od miejsca instalacji (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode zasilanie redundantne zasilacze zasilanie PoE w zależności od modelu miejsce na kartę SD port mini-usb *w zależności od licencji Cisco Industrial Ethernet 5000 Series Switches Przemysłowe przełączniki serii 5000 (Rys.6, str. 30) z czterema portami 10 Gigabit Ethernet lub czterema portami 1 Gigabit Ethernet jako uplink i 24 portami Gigabit Ethernet jako porty dostępowe. Montowany w szafie teleinformatycznej, przełącznik jest odporny na wstrząsy. Zapewnia łączność nawet w najtrudniejszych warunkach przemysłowych. Tab. 6 (str. 30) przedstawia wybrane parametry przełącznika Cisco IE Główne cechy i funkcjonalności: zarządzanie Fast Boot, Express Setup, Web Device Manager, Cisco Network Assistant, Cisco Prime Infrastructure, MIB, SmartPort, SNMP, syslog warstwa 2 - VTPv2, NTP, UDLD, CDP, LLDP funkcjonalności* QoS, Ether- Channel LACP, IGMPv3,NAT bezpieczeństwo* - SCP, SSH, SNMPv3, TACACS+, RADIUS Server/ Client, MAC Address Notification, BPDU Guard, Port-Security, Private VLAN, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 802.1x, Guest VLAN, MAC Authentication Bypass, 802.1x Multi-Domain Authentication, Storm Control, Trust Boundary routing L3* - OSPF, EIGRP, BGPv4, IS-IS, RIPv2, Policy-Based Routing Biuletyn Informacyjny SOLIDEX 29

30 TECHNOLOGIE (PBR), HSRP, VRF-lite, PIM- SM, PIM-DM, PIM sparse-dense mode zasilanie redundantne zasilacze zasilanie PoE w zalezności od modelu miejsce na kartę SD port mini-usb * w zależności od licencji Podsumowanie W dobie informacji, gdzie liczy się każdy bit danych, a każde urządzenie i każdy z nas chce być online, firmy szukają rozwiązań zapewniających jak najmniej zawodny dostęp sieci. Ta kwestia dzisiaj nie pozostaje bez znaczenia zwłaszcza dla biznesu. Każdy potrzebuje rozwiązania najlepszego dla swoich potrzeb. Krótko scharakteryzowane powyżej przełączniki, znalazły już swoich odbiorców szczególnie w transporcie, budownictwie, na platformach wiertniczych czy w wojsku. Jest to dobre rozwiązanie dla wymagających użytkowników. Tab. 6 "RAM: 1GB MB Hardware Flash 256 MB Karta SD 1GB" Porty 12 28* SFP Uplink 1G lub 10G 4 SFP Ethernet 12* Maksymalna prędkość przełączania 56 Gbps 128 Gbps* Maksymalna prędkość przekazywania 28 Gbps 64 Gbps* PoE PoE lub PoE+* Temperatura Pracy -40C** do 85C** "Stopień ochrony International Protection IP30 Rating " Parametry serii 5000; *w zależności od modelu,** w zależności od miejsca instalacji Rys. 6 Cisco IE 5000 Opracowano na podstawie oficjalnych materiałów producenta. D.B. 30 Integrujemy przyszłość

31 Numer: II/2016 (135) Digital Vault nowe spojrzenie na bezpieczeństwo Istnieje wielka ilość aspektów bezpieczeństwa analizowana podczas każdego projektu. Departamenty bezpieczeństwa, opracowując wytyczne tworzą politykę, która będzie chroniła firmę przed coraz to większą gamą zagrożeń. Wspólne dyskusje, poruszają zagadnienia firewall i czy rozwiązań IPS chroniących przed zagrożeniami. Coraz więcej firm testuje i rozważa zakup rozwiązań klasy sandbox, która odrodziła pamięć o systemach AntiMalware i rzeczywiście dogania mit o możliwości ochrony przed zagrożeniami 0-day. Są jednak aspekty, które nie pojawiają się w rozważaniach lub są w dalszym ciągu marginalizowane. Passwords Bezpieczeństwo haseł, jak również zarządzanie dostępem uprzywilejowanym nie kończy się na zdefiniowaniu polityki określającej złożoność hasła i częstotliwości jego zmian. Z pewnością podnosi to poziom bezpieczeństwa jednak nie chroni nas przed jego kradzieżą i wykorzystaniem go przez osoby postronne. Hasło administratora raz zdobyte przez osobę nieupoważnioną daje mu nieograniczony dostęp, a tego typu incydenty są trudne do wykrycia i analizy. Nasze sieci zbudowane są z dziesiątek (jeśli nie setek) różnych urządzeń. Każde z nich, od przełącznika do zawansowanego firewall a lub systemu do ochrony aplikacji, posiada konta administracyjne o różnym poziomie uprzywilejowania. Same aplikacje do poprawnego funkcjonowania wymagają połączenia do baz danych, które wymagają uwierzytelnienia. Dowolny system wymaga dzisiaj od nas podania poświadczeń, które będą w stanie określić naszą tożsamość oraz poziom uprawnień. Najbardziej newralgiczne jednak są konta o najwyższym poziomie uprzywilejowania, czyli konta root, czy administratora. To one dają nam pełnie władzy nad systemem. Dodatkowo bardzo często do różnych systemów w firmie wykorzystuje się te same hasła. Administrator definiuje identyczne na każdym z systemów z osobna lub korzysta się centralnego systemu do uwierzytelniania. Może prowadzić to do sytuacji, w której raz przechwycone hasło posłuży atakującemu wielokrotnie i będzie on w stanie spenetrować całą sieć. Kradzież haseł nie jest niczym niespotykanym w dzisiejszych czasach i dotyczy wielu sektorów rynku. O tym zagadnieniu można między innymi przeczytać na stronie sans.org w artykule Pass-the-hash attacks: Tools and Mitigation *. Pierwszy etap rozwiązania Problemem jest sposób zarządzania użytkownikami i ich hasłami, które zdefiniowane są na wielu systemach. Wielokrotnie administratorzy nie mają świadomości gdzie i kto jakie konto posiada. Pracownicy również zmieniają swoje stanowisko w firmie lub z tej firmy odchodzą. Konta niejednokrotnie zostają, zachęcając do ich korzystania już w sposób nieuprawniony. W tym obszarze bardzo ciekawym rozwiązaniem tej kwestii jest gama produktów firmy CyberArk. Firma ta oferuje specjalizowaną grupę rozwiązań bezpieczeństwa (Rys. 1, str. 32). Głównym aspektem jest oczywiście proces zarządzania hasłami, który został rozwinięty o funkcje monitorowania i analizy w czasie rzeczywistym sesji administracyjnych. * - Biuletyn Informacyjny SOLIDEX 31

32 TECHNOLOGIE Rys. 1 Port folio produktów firmy CyberArk lub w infrastrukturach chmurowych użytkownik wymagający dostępu do zasobu musi wcześniej uwierzytelnić się w systemie CyberArk. Producent zapewnia wsparcie dla szerokiej gamy mechanizmów, od serwera LDAP, RADIUS po SecurID i inne użytkownikowi otrzymuje dostęp tylko do systemów do których ma uprawnienia aby się zalogować system w tle, dla tego użytkownika i dla systemu który się łączy pobiera hasło ze skarbca i przesyła je do systemu docelowego hasło nigdy nie znajdzie się na komputerze użytkownika W skład kompleksowej architektury zabezpieczeń wchodzą następujące komponenty: Enterprise Password Vault SSH Key Manager Privileged Session Manager Application Identity Manager On-Demand Privileges Manager systemie np. RSA SecurID rygorystycznej kontroli dostępu Ze wzglądu na swoją rolę, skarbiec powinien pracować na dedykowanych serwerach, a celem zapewnienia jego wysokiej dostępności stosuje się mechanizmy klastrowania lub replikacji Żadne złośliwe oprogramowanie potencjalnie tam działające nie ma możliwości, aby przechwycić hasło podczas wpisywania go przez użytkownika lub odczytać je z pamięci komputera. Przykładowe zastosowanie zostało przedstawione na Rys Sercem produktu jest skarbiec (CyberArk Digital Vault ). Stanowi on centralne repozytorium przechowywanych danych (Rys. 2). Wszystkie w nim dane gromadzone są w sejfach. Każdy sejf posiada dedykowane mechanizmy szyfrowania jak również parametry dostępu. Wszelkie akcje wykonywane w skarbcu są audytowane, a plik z logami zabezpieczony jest przed modyfikacją. Warto zwrócić uwagę na fakt wykorzystania szyfrowania hierarchicznego. Każdy obiekt jest wielokrotnie szyfrowany odpowiednio kluczem obiektu, kluczem sejfu i kluczem skarbca. System umożliwia podłączenie do modułu HSM celem separacji miejsca przechowywania klucza od danych, które kluczem zostały zaszyfrowane. Dodatkowo dostęp do sejfu chroniony jest za pomocą: zapory sieciowej szyfrowanej komunikacji uwierzytelniania w zewnętrznym Dysponując działającym skarbcem, konieczne jest bezpieczne pobieranie z niego haseł przez autoryzowanych użytkowników. Do tego celu wykorzystujemy Password Vault Web Access. Jest to aplikacja www, która zapewnia: dostęp do dowolnych zasobów znajdujących się w naszej firmie Rys. 2 Technologia CyberArk Digital Vault Integrujemy przyszłość Podany przykład opisuje w jaki sposób system działa w przypadku haseł. Nic jednak nie stoi na przeszkodzie aby wykorzystać go do uwierzytelniania kluczami SSH.

33 Numer: II/2016 (135) Rys. 3 Etap pierwszy: Enterprise Password Vault Drugi etap rozwiązania W pierwszym etapie zmieniliśmy podejście do przechowywania haseł, jak również zmianie uległ sam proces dostępu administratora do systemów. Kolejny etap zwraca uwagę na sam proces zarządzania hasłami. Wiemy już, że hasło bezpiecznie jest przesyłane ze skarbca do systemu docelowego, a użytkownik nigdy nie jest w jego posiadaniu. Pozostała nam kwestia zachowania zbieżności haseł w skarbcu z tymi znajdującymi się na systemach docelowych. Tym procesem zarządza Central Policy Manager. Jego podstawowymi zadaniami są: Zapewnienie zmian haseł w zaplanowanych interwałach Zachowania złożoności hasła Wybranie drogi jaką hasło zostanie zmienione (SSH, WMI, ) Finalnie otrzymujemy pewność, że skonfigurowane konta administracyjne, nie posiadają identycznych haseł zdefiniowanych na różnych systemach. Do tego poziom skomplikowania hasła może być znacznie większy niż ten, jaki jest w stanie zapamiętać człowiek. Trzeci etap rozwiązania Mając już system, który zapewnia bezpieczny dostęp użytkownikom uprzywilejowanym do zasobów, nic nie stoi na przeszkodzie aby rozbudować go o nowe możliwości. Dodatkowa licencja umożliwi nagrywanie i analizowanie sesji administracyjnych. System przede wszystkim spowodowuje, że sesje będą: izolowane, kontrolowane, monitorowane. Rys. 4 Etap trzeci: Privileged Session Manager Biuletyn Informacyjny SOLIDEX Sposób, w jaki Producent realizuje tą funkcję, stanowi kolejny wyróżniający się element tego rozwiązania. Od strony administratora, który nawiązuje połączenie, nie muszą nastąpić żadne zmiany sposobie realizacji tego procesu. System może działać z punktu widzenia administratora całkowicie transparentnie. 33

34 TECHNOLOGIE 34 Oczywiście mając na uwadze to, że system zapewnia izolację połączenia przez zestawienie dwóch niezależnych sesji pomiędzy komputerem administratora, a systemem CyberArk PSM, a pomiędzy PSM a stacja docelową, które to wymaga parametryzacji klienta zestawiającego połączenie. Istotą jest to, że system wspiera ogromną gamę systemów docelowych, do których możemy się łączyć. Od standardowych sesji ssh i rdp, po sesje bazodanowe sql, klientem toad, czy Microsoft SQL Studio. Docelowo możemy uzyskać system, który nie posiada ograniczeń w tym zakresie, ponieważ Producent udostępnia język skryptowy, w którym możemy opisać proces logowania do dowolnego (nawet napisanego przez nas) systemu. W zakresie swoich możliwości warto jeszcze zwrócić uwagę na: przerywanie aktualnie trwających sesji nagrywanie sesji i zapisywanie jej w formie zaszyfrowanej w skarbcu dodawanie metadanych do nagrań które umożliwią szybkie ich przeszukiwanie i analizę analizę poleceń wykonywanych przez administratora z możliwością ich zablokowania jeśli są one potencjalnie niebezpieczne. Przykładowe zastosowanie zostało przedstawione na Rys.4 (str. 33). Czwarty etap rozwiązania Wracamy do zagadnienia początkowego. Hasła, a co za tym idzie konta użytkowników znajdują się w każdym zakamarku naszej sieci. W etapie pierwszym wspomniałem o zasobach, do których administratorzy łączą się w ramach swoich codziennych obowiązków. Nie jest to jedyny aspekt, który należy wziąć pod uwagę w procesie budowania polityki zarządzania hasłami i kontami. Osobny rozdział stanowią aplikacje, które do poprawnego funkcjonowania łączą się również do baz danych czy do innych aplikacji, aby pobrać Rys. 5 lub zapisać informacje. Problem jest istotny, ponieważ dane logowania są często trzymane jawnym tekstem w kodzie aplikacji. Z biegiem rozwoju aplikacji zazwyczaj zapomina się gdzie, w którym pliku nasza aplikacja nawiązuje połączenie. Po stronie zewnętrznych systemów ustalone raz hasło, nie zmienia się przez wiele lat funkcjonowania aplikacji w obawie przed możliwymi problemami, które mogą wystąpić w jej działaniu. W tym etapie CyberArk proponuje rozwiązania Application Identity Manager. Jest to API, które wykorzystujemy w kodzie aplikacji, aby pobierać informacje o użytkowniku na prawach którego nawiązuje połączenie. Ponownie i w tym przypadku dane przechowywane są bezpiecznie w skarbcu i nikt, włączając w to deweloperów, nie jest świadomiy tego hasła. Przykładowe zastosowanie zostało przedstawione na Rys. 5. Konkluzja Etap czwarty: Application Identity Manager Opisane systemy cieszą się coraz większym zainteresowaniem na polskim rynku. Coraz więcej firm zwraca uwagę na problem haseł i kont uprzywilejowanych. Istnieje kilka rozwiązań tego typu na rynku, ale żadne w takim zakresie nie prowadza kontroli w proces zarządzania kontami uprzywilejowanymi jak również analizy sesji Integrujemy przyszłość administracyjnych. Najważniejsze zalety rozwiązania CyberArk: skarbiec, który chroni dane w nim przetrzymywane w szczególności hasła pełna separacja sesji administracyjnych pomiędzy klientem a serwerem docelowym w firmie można zrezygnować lub mocno ograniczyć ilość serwerów przesiadkowych (jump server) nawiązanie sesji zdalnego dostępu następuje w ten sam sposób jak do tej pory inne są tylko parametry połączenia ogromna ilość wspieranych protokołów/aplikacji możliwość dodania własnych aplikacji wykrywanie haseł w aplikacjach moduł umożlwiający rezygnację z implementacji haseł w kodzie aplikacji Jeśli nie mamy świadomości w jakim zakresie problem nas dotyczy, CyberArk udostępnia darmowe narzędzia na analizy naszej sieci. CyberArk Discover and Audit (DNA), skanuje naszą sieć i wskazuje jak duża jest skala problemu. Wyniki dostępne są w postaci raportu który może pomóc przy podjęciu kolejnych kroków eliminacji problemu. Opracowano na podstawie oficjalnych materiałów producenta. T.P.

35 Numer: II/2016 (135) ASA z usługami FIREPOWER (c.d.), cz.ii - projektowanie System Firewall jest istotnym elementem infrastruktury bezpieczeństwa sieciowego każdej firmy. Wybór odpowiedniej platformy jest więc bardzo ważny niezależnie od tego, czy wybieramy dla małej firmy czy ogromnej korporacji telekomunikacyjnej. Którą platformę wybrać? Wybór rozwiązania firewall należy rozpocząć od sformułowania kilku podstawowych pytań technicznych oraz biznesowych: Ile użytkowników liczy a ilu będzie liczyć za rok? Ochrona ma dotyczyć tylko użytkowników czy też całego firmowego Data Center? Ilu pracowników będzie pracować z sieci zewnętrznych? Ile sieci VPN będzie trzeba uruchomić? Czy klient posiada oddziały lub biura regionalne? Ile placówek? Czy chce posiadać połączenia Site to Site? Ile sesji i jaka topologia? Czy oddziały działają autonomicznie, czy też korzystają z centralnego serwera? Czy przepustowość łącza internetowego stanowi dla klienta poważny problem? Jeżeli tak to czy nie wprowadzić zarządzania pasmem sieciowym QoS? Czy serwer pocztowy jest krytyczny dla działalności klienta? Jeżeli tak to firewall powinien działać jako centralny system antywirusowy, antyspam, filtrowanie adresów i wykrywanie prób włamać? Jak wydajnego rozwiązania klient potrzebuje? Ile interfejsów sieciowych powinien mieć firewall, aby zapewnić bezproblemowe wdrożenie i zapas portów na dłuższy czas? Ile polityk systemowych będzie na firewallu? Odpowiedzi na te wszystkie zagadnienia pomogą w doborze odpowiedniego urządzenia dla różnych klientów. Dobór segmentu portfolio do wielkości Firmy: Wybór optymalnego systemu firewall jest zależny od wielu czynników: wielkości chronionej instalacji, oczekiwanych funkcjonalności (VPN, IS, zarządzanie pasmem), aktualnie posiadanych zasobów sprzętowych, wreszcie Wielkość Firmy Typowe cechy i wymagania Kategoria dla ASA Firma bardzo mała, zatrudniająca do 20 osób Firma mała zatrudniająca 50 osób Firma średnia zatrudniająca osób Firma duża zatrudniająca powyżej 250 osób Firma telekomunikacyjna, dostawca usług ASP lub ISP Minimalne zaangażowanie w bieżącą administrację systemem firewall. Prostota konfiguracji. Średnie zaangażowanie w sprawy administracji systemem firewall. Firmowy serwer i WWW wewnątrz sieci. Zatrudniony administrator odpowiedzialny za bezpieczeństwo. Firmowy serwer i WWW wewnątrz sieci. Zatrudnionych co najmniej dwóch administratorów bezpieczeństwa. Alternatywne łącze do Internetu. Firmowy serwer i WWW wewnątrz sieci. Polityka bezpieczeństwa dotycząca treści: obejmuje dokumenty , zasady korzystania z zasobów WWW, itp. Zatrudniony zespół administratorów bezpieczeństwa. Kilka alternatywnych łącz do Internetu. Zarządzanie zbiorem polityk bezpieczeństwa. Monitorowanie ruchu. Duże przepływności. SOHO BRANCH Office INTERNET EDGE CAMPUS DATA CENTER and ISP Tab. 1 Zestawienie FIRMA/SEGMENT RYNKU Biuletyn Informacyjny SOLIDEX 35

36 ROZWIĄZANIA Feature Cisco ASA 5512-X Cisco ASA 5515-X Cisco ASA 5525-X Maximum application control (AVC) throughput Maximum paalication control (AVC) and IPS throughput 300Mbps 500Mbps 1100Mbps 150Mbps 250Mbps 650Mbps Maximum concurrent sessions Maximum New Connections per second Application control (AVC) or IPS sizing throughput [440 byte HTTP] Mbps 150Mbps 375Mbps Supported applications More than 3000 URL categories 80+ Number of URLs categorized Centralized configuration, logging, monitoring and reporting More than 280 milion Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center Cisco ASA 5545-X (Cisco ASA 5555-X) 1500Mbps (1750Mbps) 1000Mbps (1250Mbps) ( ) (50000) 575Mbps (725Mbps) Maximum application control (AVC) throughput Maximum paalication control (AVC) and IPS throughput Cisco ASA 5585-X SSP-10 w Cisco ASA 5585-X SSP-20w Cisco ASA 5585-X SSP-40w Cisco ASA 5585-X SSP-60w 4,5Gbps 7Gbps 10Gbps 15Gbps 2Gbps 3,5Gbps 6Gbps 10Gbps Maximum concurrent sessions Maximum New Connections per second Application control (AVC) or IPS sizing throughput [440 byte HTTP] ,2Gbps 2Gbps 3,5Gbps 6Gbps Supported applications More than 3000 URL categories 80+ Number of URLs categorized Centralized configuration, logging, monitoring and reporting More than 280 milion Multi-device Cisco Security Manager and Cisco FireSIGHT Managment Center Memory 12GB 24GB 24GB 48GB Minimum flash Managment and monitoring interface 8GB 2 Ethernet 10/100/1000 ports Stateful inspection throughput (max) Stateful inspection throughput (multiprotocol) Maximum application visability and control (AVC) throughput Maximum AVC and NIGIPS throughput ASA 5506-X / Security Plus ASA 5506W-X / Security Plus ASA 5506H-X / Securiy Plus ASA 5508-X 750Mbps 750Mbps 750Mbps 1Gbps 300Mbps 300Mbps 300Mbps 500Mbps 250Mbps 250Mbps 250Mbps 450Mbps 125Mbps 125Mbps 125Mbps 250Mbps Maximum concurrent sessions 20000/ / Maximum new connection per second Application control (AVC) or NIGIPS sizing [440byte byttp] Mbps 90Mbps 90Mbps 200Mbps Packets per second (64 byte) Tab. 2 Specyfikacje techniczne ASA 36 Integrujemy przyszłość

37 Numer: II/2016 (135) Zakres funkcjonalności ASA z FIREPOWER. ASA implementując rozwiązania firmy SourceFire dysponuje wieloma rozwiązaniami z zakresu Next Generation Firewall: - Tab.3. Typową topologię wdrożeń systemu przedstawiają Rys.:1-4. Podsumowanie Rys.1 Rys.2 ASA w segmencie agregacji ASA w trybie wys. dostępności kosztów jakie gotowi jesteśmy ponieść. Można jednak przedstawić kilka reguł i ścieżek postępowania -w zależności od wielkości przedsiębiorstwa i typowych dla niego oczekiwań - Tab.1 (str. 35). Parametry techniczne urzędzeń prezentuje Tab.2. Rys.3 Rys.4 ASA w trybie transparentnym ASA w trybie Multi-Context Jeżeli już wiemy, w którym segmencie rynku znajduje się klient, możemy przejść do analizy poszczególnych parametrów ASA z danych znajdujących się w Tab. 2 oraz sklasyfikować potrzeby wydajności sieci klienta do proponowanego przez nas rozwiązania. Cisco wraz z wejściem na rynek z produktem NGFW goni rynek security. Asa z usługami Firepower to rozwiązanie łączące znane zapory sieciowe Cisco z zaawansowanym oprogramowaniem Sourcefire Next- Generation IPS oraz Advanced Malware Protection co stworzyło kompletny, zintegrowany system bezpieczeństwa dla każdego segmentu klientów. Rozwiązanie pozwala na istotne zwiększenie ochrony systemów IT, od centrów przetwarzania danych, przez całościową infrastrukturę przedsiębiorstwa, do punktów końcowych. Umożliwia kompleksowo identyfikację, zrozumienie i blokowanie zaawansowanych zagrożeń w czasie rzeczywistym, a także ich retrospektywną analizę. Opracowano na podstawie oficjalnych materiałów producenta. M.G. Usługi FIREPOWER Opis AVC NGIPS URL AMP FireSIGHT Jest to ochrona przed zaawansowanymi zagrożeniami Application Visibility and Control. AVC wspiera ponad 3000 aplikacji w warstwie 7 oraz klasyfikuje ryzyko wystąpienia zagrożenia bazując na politykach IPS co optymalizuje efektywność zabezpieczeń Funkcja współpracuje z AVC, aby w pełni wspierać zapobieganie zagrożeniom dotyczących użytkowników, infrastruktury, aplikacji poprzez odniesienie do kontekstu, co umożliwia wczesną automatyczną obronę przed zagrożeniem Bazuje na reputacji i kategoriach filtrów URL. Posiada wczesne alarmowanie i zapewnia kontrolę nad podejrzanym ruchem www. Baza posiada wpisy setek milionów adresów URL w ponad 80 kategoriach. Posiada detekcję włamań i oferuje efektywną ochronę do zatrzymania malwaru i innych zagrożeń znajdujących się na innych warstwach zabezpieczeń Jest to scentralizowana konsola zarządzająca i repozytorium bazy danych zdarzeń. Potrafi automatycznie agregować i korelować intruza, pliki, malware, połączenia i wydajność wygenerowana przez samą Cisco ASA z usługami FIREPOWER Tab. 3 Usługi FIREPOWER Biuletyn Informacyjny SOLIDEX 37

38 ROZWIĄZANIA Szyna wymiany informacji Intel Security McAfee Data Exchange Layer (DXL) Zebranie razem wszystkich informacji o zagrożeniach z autonomicznych systemów bezpieczeństwa pozostaje wciąż dużym wyzwaniem. Dzielenie się szczegółowymi detalami o incydentach, wynikami śledztw na temat ataków oraz odpowiadanie na nie jest wciąż procesem wysoce manualnym, a integracja produktów typu point-to-point jest bardzo czasochłonna i trudna do utrzymania patrząc z perspektywy czasu i kolejnych aktualizacji urządzeń. DXL McAfee Data Exchange Layer (DXL) unifikuje rozproszone rozwiązania różnych producentów aby umożliwić natychmiastową komunikację i współpracę. Jest to dwukierunkowa, otwarta platforma łącząca systemy bezpieczeństwa w jeden ekosystem. Pojęcia związane z DXL zebrane zostały w Tab. 1. DXL Brokers Podstawową jednostką budującą architekturę DXL są komponenty znane jako DXL brokers. Łączą w sobie rolę przyjmowania wiadomości od klientów i routowania ich dalej. Wszyscy klienci DXL łączą się bezpośrednio do brokera i utrzymują stałe połączenie tak długo, jak należą do DXL. Dodatkowo, wszystkie brokery muszą utrzymywać połączenie Pojęcie DXL DXL Broker DXL Clients epo Fabric Hub MQTT Services TIE Client TIE Server Topic Definicja Data Exchange Layer klienci łączą się do DXL Broker aby należeć do sieci DXL. Cała komunikacja DXL odbywa się poprzez DXL Broker jakiekolwiek urządzenie podpięte do sieci DXL nie świadczące usług routingu bądź przekazywania wiadomości DXL Endpoint Policy Orchestrator wielofunkcjonalny serwer do zarządzania i raportowania bezpieczeństwa stacji końcowych połączona sieć DXL Broker używana do przesyłania informacji i podłączania do DXL dwa DXL Broker połączone w jeden wirtualny byt dla zapewnienia HA protokół wymiany wiadomości do używania na górze protokołu TCP/IP oparty o model publisher-subscriber podstawa do stworzenia protokołu DXL komponenty, które używają DXL do komunikacji. Przykładami są takie usługi jak TIE czy Active Response klienci zarządzani przez epo korzystający z usług serwera TIE serwer TIE (lokalna baza reputacji) topic można interpretować jako URL w sieci DXL. Jest to miejsce, gdzie usługi publikują konkretne metody. Kiedy klient łączy się do DXL powiadamia Broker, jakie topics go interesują. Tab. 1 Słownik pojęć 38 Integrujemy przyszłość

39 Numer: II/2016 (135) Rys. 1 Zarys protokołu DXL z usługami TIE, ATD i epo między sobą, odkrywać i utrzymywać usługi. Kiedy klient prosi o daną usługę, obowiązkiem DXL broker jest przekazanie jej dalej. Wiadomości DXL są dostępne w dwóch formach: 1-1 jest to konkretna wiadomość w danej usłudze. Przykładem może być zapytanie o reputację albo aktualizacja bazy danych 1-Many jest to wiadomość broadcast do wszystkich zainteresowanych klientów/usług. Przykładem może być zmiana reputacji pliku lub prośba, aby wybrani klienci wykonali akcję (usunięcie pliku, itd.) DXL Clients Kiedy klient podłącza się do sieci DXL, tworzone są trwałe połączenie do najbliższego brokera i utrzymują sesję TCP/IP do niego tak długo, jak są podłączeni do sieci. Kiedy klient otrzymuje politykę DXL od serwera epo, zawiera ona certyfikat i klucz do uwierzytelnienia do DXL broker oraz listę brokerów. Najbliższy broker ustalany jest za pomocą liczby przeskoków ICMP. Jeżeli protokół ICMP jest wyłączony w środowisku, klient będzie się łączył do brokerów metodą round-robin. Połączenie od klienta jest wspierane zarówno przez NAT jak i zapory sieciowe. Można interpretować je jak połączenie webowe SSL. Klient musi być w stanie rozwiązać trasę do serwera, natomiast serwer nie musi znać trasy powrotnej bezpośrednio do klienta. Gdy połączenie zostanie zestawione, broker może kierować wiadomości bezpośrednio do klienta poprzez wcześniej zainicjowane połączenie. Połączoną sieć wielu DXL broker nazywamy DXL Fabric. Komunikacja DXL broker-to-broker jest kierunkowa i odbywa się na tym samym porcie (8883) co komunikacja klientów. Na początku klient łączy się Biuletyn Informacyjny SOLIDEX do najbliższego brokera i prosi o listę subskrybowanych tematów (topics). Gdy komunikacja jest już ustalona, broker jest obciążony odpowiedzialnością przekazywania wiadomości w od klientów do serwisów w DXL i wiadomości zwrotnych (Rys. 1). Client Broker Connections Client Broker Connections jest opcją polityki epo po stronie klienta, która zapewnia kilka dodatkowych opcji modyfikowania, jak klienci łączą się do sieci DXL. Klient może być ograniczony do połączeń tylko do konkretnego brokera, huba lub gałęzi sieci. Klienci mogą być również skonfigurowani w sposób wymuszający podłączenie do konkretnej części sieci, ale jednocześnie utrzymują możliwość podłączenia się gdzie indziej w przypadku, gdy dany segment sieci będzie niedostępny. Domyślne ustawienia Client Broker Connections nie posiadają żadnych ograniczeń i są rekomendowanym ustawieniem. 39

40 ROZWIĄZANIA DMZ Brokers Co natomiast z klientami spoza naszej organizacji próbującymi się przyłączyć do sieci DXL? Dla nich zostały stworzone brokery ustawione w DMZ, które zapewniają komunikację DXL w stronę Internetu. Brokery w DMZ muszą mieć publiczne System Name (Published System Name) i publicznie udostępniony adres IP (Published IP Address) ustawione w zakładce DXL Topology. Kiedy te dwa parametry są obecne, wszystkie połączenia wykonywane do tych brokerów będą używały tych wartości zamiast wewnętrznie raportowanych. Żadna dodatkowa konfiguracja nie jest wymagana, aby korzystać z zalet brokerów DMZ. Stacje końcowe z zewnątrz naszej organizacji nie będą w stanie zobaczyć żadnych wewnętrznych brokerów poza tymi w DMZ i będą się łączyły domyślnie z najbliższym z nich. Hubs W rozwiązaniu nie zapomniano również o fakcie, że w świecie IT wszystko może zawieść. Dwa brokery mogą zostać połączone razem w celu stworzenia huba. Hub dodaje funkcjonalność rozkładania ruchu między jego członków oraz zapewnia wysoką dostępność w konfiguracji active/active. Kiedy hub jest stworzony, klienci losowo wybiorą konkretny broker i przełączą się na drugi w razie awarii. Dla przykładu, Root Hub będzie hubem ustawionym, by zapewniać komunikację między wszystkimi gałęziami fabrica. Istotnym jest, aby ten punkt był hubem, a nie pojedynczym brokerem awaria jednego z brokerów w hubie nie spowoduje niepożądanej fragmentacji fabrica. Service Zones Stefy usług (ang. Service Zones) istnieją, aby zapewnić, że usługi dostarczane są przez lokalne zasoby. Strefa usług może być przypisana do brokera albo huba. Strefa zawiera wybranego brokera lub huba wraz z jego potomkami, nawet jeżeli one same mają swoje strefy usług. Wszystkie zapytania tworzone są najpierw w zawieranej strefie, a następnie przesyłane są do góry, do wyższych stref usług, aż pożądana usługa zostanie odnaleziona. Jako przykład rozważmy klienta, który działa w regionie Europy oraz Azji. Powinien on w swojej topologii rozważyć dwie strefy usług po jednej na każdy region. Jeżeli w Europie występują dwa główne centra danych, najlepszym rozwiązaniem byłoby zaimplementowanie oddzielnych stref usług dla każdego z centrum. Europejska strefa usług zawierałaby wtedy dwie strefy usług w centrach danych. Zapytanie przychodzące do jednej ze stref w europejskich data center byłoby najpierw routowane do usług w tej strefie. Jeżeli usługa nie zostałaby tam odnaleziona, odpytana zostałaby wyższa strefa usług europejska. W przypadku, gdyby poszukiwania w tej strefie również zawiodły, cały fabric zostałby przeanalizowany w poszukiwaniu usługi zdolnej obsłużyć to zapytanie. Przykładowa topologia z podziałem na strefy usług znajduje się na Rys. 2. Dla prostej konfiguracji nie potrzebujemy stref usług. Jeżeli implementujemy tylko kilka brokerów i jedną parę serwerów TIE, nie ma potrzeby limitowania, gdzie dane usługi są dostępne. Używajmy stref tylko na potrzeby zapewnienia klientom dostępu do usług najbliżej ich lokalizacji. 40 Ogólną zasadą jest, że każdy broker posiadający potomka (ang. children) powinien w zamian być hubem, aby uniknąć pojedynczego punktu awarii spowodowanego podzieleniem się fabrica. Dodatkowo, hub powinien być utworzony wszędzie tam, gdzie istnieje konieczność połączenia kilku gałęzi fabrica. Rys. 2 Topologia z podziałem na strefy Integrujemy przyszłość

41 Numer: II/2016 (135) Rys. 3 Przykładowy zaawansowany projekt DXL fabric Pamiętajmy też, że nie wszystkie usługi muszą znajdować się w każdej ze stref, jako że wiele z nich będzie miało pojedyncza instancję, która z natury jest globalna Łączenie DXL Fabrics Z wypuszczeniem DXL w wersji 1.1 i późniejszych, możemy łączyć wiele DXL fabric zarządzanych przez oddzielne instancje epo. Kiedy fabric są połączone (ang. bridged) klienci mogą podłączyć się do dowolnego brokera w tej spójnej sieci i dzielić się usługami DXL. Podczas łączenia fabriców rekomendowane jest, aby istniał top-level (root) hub dedykowany do terminowania połączeń i przekazywania ich. Diagram na Rys. 3 pokazuje jak taka topologia powinna wyglądać. Root hub powinien być skonfigurowany tak, aby nie akceptować połączeń klienckich, a powinien świadczyć funkcjonalności routowania wiadomości pomiędzy dwoma połączonymi fabricami. Podsumowanie Technologia DXL może w przyszłości zmienić sposób, w jaki komunikują się między sobą urządzenia bezpieczeństwa. Z doświadczenia wiem, że komunikacja po sieci DXL daje niesamowicie niskie opóźnienia w przesyłaniu krytycznych informacji integrując ze sobą wiele systemów jednocześnie. Firma Intel Security stale rozbudowuje bazę vendorów, Biuletyn Informacyjny SOLIDEX którzy będą mogli korzystać z zalet tego rozwiązania, sprawiając, że nawet multi-vendorowe środowisko będzie mogło być niedługo zamienione w jeden spójny ekosystem. To z kolei zapewni nam płynną i błyskawiczną wymianę informacji o incydentach bezpieczeństwa, co jeszcze bardziej wzmocni naszą obronę przed zagrożeniami zarówno z zewnątrz, jak i tymi wewnętrznymi. Opracowano na podstawie oficjalnych materiałów producenta. K.O. 41

42 ROZWIĄZANIA Wysokiej jakości rozwiązanie do konferencji wideo WebEx Meeting Server W dzisiejszych czasach firmy są rozproszone geograficznie, a kontakt z klientem często realizowany jest na odległość. Ludzie nie mają czasu na ciągłe podróże, więc bardzo ważnym elementem jest możliwość płynnej komunikacji. Dawniej do realizacji spotkań na odległość wykorzystywano telefony oraz pocztę elektroniczną. Obecnie technologie te są niewystraczające ze względu na rozwijające się zapotrzebowanie na przekazywanie informacji. Rozwój Internetu zaowocował stworzeniem wielozadaniowego narzędzia jakim jest WebEx, który umożliwia nawiązywanie multimedialnych wideokonferencji. Funkcjonalność WebEx Meeting Server jest bezpiecznym narzędziem do nawiązywania konferencji audiowizualnych wysokiej jakości. Obraz transmitowany jest w jakości HQ 360p. Po zainstalowaniu kilku dodatkowych narzędzi ze strony Producenta można w pełni korzystać z funkcjonalności WebEx-a. Spotkania realizowane są za pomocą konsoli konferencyjnej WebEx Meeting Application na komputerach PC (Rys. 1) i komputerach Apple z systemem ios. Za jej pomocą można uczestniczyć w spotkaniach audiowizualnych, współdzielić ekran w celu prezentacji materiałów innym użytkownikom, wysyłać pliki oraz nagrywać konferencję. Dostępny jest także czat, Rys. 1 Panel konferencyjny na którym porozumiewamy się za pomocą wiadomości tekstowych. 42 Integrujemy przyszłość

43 Numer: II/2016 (135) Rys.2 Aplikacja WebEx w systemie Android Istnieją również dedykowane aplikacje na urządzenia mobilne Apple i urządzenia z system operacyjnym Android (Rys. 2), które są dostępne do pobrania bezpośrednio w Apple Market oraz Android Market. Aplikacja umożliwia rozmowy audiowizualne, korzystanie z czatu i nagrywanie spotkań. Bardzo przydatną funkcją WebEx-a jest możliwość integracji go z programem MS Outlook (Rys. 3) poprzez wykorzystanie Productivity Tools. Instalacja tego narzędzia umożliwia tworzenie konferencji z poziomu programu pocztowego. Dodatkowo otrzymujemy plugin WebEx Assistant (Rys. 4), który znajduje się w menu rozwijanym dolnego paska systemu Windows. Korzysta on z mechanizmów MS Outlook, dzięki czemu można również wykorzystać go do tworzenia spotkań. Czasami istnieje potrzeba odtworzenia danego spotkania lub chęć dodania go na portal internetowy, na przykład w celach szkoleniowych. W takim przypadku przyjdzie nam z pomocą WebEx Network Recording Player (Rys. 5). Jest to program umożliwiający odtwarzanie i pobieranie nagranych konferencji w formacie.arf. Jest to niestandardowy format, ale program oferuje konwersję na jeden z trzech formatów obsługiwanych przez większość urządzeń : WMV (Windows Media), SWF (Flash) i MP4 (MPEG4). Oprócz nagranego dźwięku i obrazu jest także podgląd czatu oraz dokładny przebieg czasowy wszystkich zdarzeń, które wystąpiły podczas spotkania. Spotkania w systemie WebEx mogą być tworzone czterema metodami: za pomocą portalu Internetowego, pluginu WebEx Assistant, poczty elektronicznej MS Outlook oraz aplikacji mobilnej. Jeżeli chodzi o trzy pierwsze metody to mamy możliwość utworzenia spotkań ad-hoc - czyli rozpoczynających się w chwili obecnej - oraz planowanych, czyli Rys.3 Rys. 5 WebEx w MS Outlook Network Recording Player Biuletyn Informacyjny SOLIDEX Rys.4 WebEx Assistant rozpoczynających się w przyszłości. Jeśli chodzi o aplikacje mobilne, nie ma tutaj rozróżnienia na spotkania ad-hoc i planowane. W obu przypadkach procedura tworzenia konferencji jest taka sama. Ponadto WebEx Meeting Server daje możliwość integracji z systemem telefonii IP oraz urządzeniami działającymi w sieci PSTN wykorzystując Cisco Unified Communication 43

44 ROZWIĄZANIA Rys. 6 Architektura systemu WebEx Manager. Połączenia realizowane są poprzez usługę SIP Trunk, która wykorzystuje sieć IP do realizacji połączeń przychodzących i wychodzących. Taka integracja powoduje, że urządzenia w sieci PSTN mogą zdzwaniać się z systemem WebEx, jak i są osiągalne przez system. Należy zaznaczyć, że ten sposób komunikacji umożliwia obecnie jedynie transmisję dźwięku, bez transmisji wideo. Architektura systemu Cisco WebEx Meeting Server jest zwirtualizowaną usługą opartą na oprogramowaniu Cisco Unified Computing System oraz VMware. Architektura systemu (Rys. 6) składa się z szeregu współpracujących ze sobą maszyn wirtualnych : Administration VM: Jest to centrum zarządzania całym systemem. Zawiera bazę danych systemu i zapewnia funkcje administracyjne Media VM: Zapewnia usługi multimedialne (funkcje audiowizualne, obsługa telefonów i spotkań). Media VM zawarte jest w Administration VM dla 50 jednoczesnych użytkowników Web VM: Zapewnia użytkownikom i administratorom możliwość logowania się do systemu i korzystania z niego poprzez platformę Internetową. Web VM zawarte jest w Administration VM dla 50, 250 oraz 800 jednoczesnych użytkowników systemu Reverse Proxy: Zwiększa bezpieczeństwo firmy korzystającej z systemu WebEx. Umożliwia użytkownikom mobilnym dostęp do usługi poprzez łącze publiczne (Internet) Dla małych rozmiarów systemu większość funkcji realizowane jest w jednej maszynie wirtualnej, natomiast dla większych muszą zostać stworzone osobne maszyny dla każdej z funkcji. System oferuje cztery pojemności : 50, 250, 800 i 2000 jednoczesnych uczestników. Maksymalna pojemność systemu oraz jego skalowalność zależnie od rozmiaru znajduje się w Tab. 1. Rys. 7 Przykład redundantnego systemu dla 50 użytkowników 44 Integrujemy przyszłość

45 Numer: II/2016 (135) Wirtualne maszyny na serwerze z oprogramowaniem ESXi Liczba rdzeni procesora (2.4 GHz lub więcej) Pamięc RAM (GB) Porty Ethernetowe Wymagana pojemność dysku twardego Wymagania dla systemu o pojemności 50 użytkowników Admin 4 (ESXi 5.0), 6 (ESXi 5.1 +) 24 2 do Admin VM i 1 ESXi 1.5 TB, 7200 RPM Admin i vcenter 6 (ESXi 5.0), 8 (ESXi 5.1+) 36 2 do Admin VM, 1 dla vcenter i 1 do ESXi 1.5 TB, 7200 RPM Reverse Proxy 4 (ESXi 5.0), 6 (ESXi 5.1+) 12 2 do Reverse Proxy VM i 1 do ESXi 300 GB, 7200 RPM Admin i Reverse Proxy do Admin VM, 2 do Reverse Proxy VM i 1 do ESXi 1.5 TB, 7200 RPM Admin, Reverse Proxy do Admin VM, 2 do Reverse Proxy VM, 1 do vcenter i 1 do ESXi 1.5 TB, 7200 RPM Wymagania dla systemu o pojemności 250 użytkowników Admin i Media do Reverse Proxy VM, 1 do vcenter i 1 do ESXi 1.5 TB, 7200 RPM Admin, Media i vcenter do Admin VM oraz Media VM, 1 dla vcenter i 1 do ESXi 1.5 TB, 7200 RPM Reverse Proxy do Reverse Proxy VM i 1 do ESXi 300 GB, 7200 RPM Wymagania dla systemu o pojemności 800 użytkowników Admin i Media Reverse Proxy do Admin VM oraz Media VM i 1 ESXi 2 do Reverse Proxy VM i 1 do ESXi 1.5 TB, RPM 300 GB, RPM Wymagania dla systemu o pojemności 2000 użytkowników Admin i Media Media i Web Reverse Proxy do Admin VM oraz Media VM i 1 ESXi 2 do Media VM oraz Web VM i 1 do ESXi 2 do Reverse Proxy VM i 1 do ESXi 1.5 TB, RPM 1.5 TB, 7200 RPM 300 GB, RPM Tab. 1 Tabela informacyjna / wymagania dla systemów Biuletyn Informacyjny SOLIDEX 45

46 ROZWIĄZANIA Możliwe jest również stworzenie systemu w wersji redundantnej poprzez wykorzystanie szeregu maszyn wirtualnych (High-availability system). Jeżeli system podstawowy ulegnie awarii, wtedy HA będzie kontynuował działanie usługi. Rys. 7 (str. 44) prezentuje przykład redundantnego systemu dla 50 użytkowników. Kwestia bezpieczeństwa Istotną cechą systemu jest kwestia bezpieczeństwa. Aby zwiększyć bezpieczeństwo WebEx, wdraża się tzw. Reverse Proxy, który kontroluje połączenia z sieci publicznej (Internetu). Jest to serwer pośredniczący w wymianie danych pomiędzy użytkownikiem a systemem WebEx. Dzięki takiemu rozwiązaniu użytkownicy korzystający z Internetu nie mają bezpośredniego dostępu do sieci firmowej. Na wewnętrznym firewallu nie ma otwartych żadnych portów, więc sieć nie jest narażona na niebezpieczeństwo z zewnątrz. Sesje użytkownika końcowego szyfrowane są za pomocą protokołów SSL i TLS, co uniemożliwia podsłuchanie konferencji. Dotyczy to zarówno strumienia audio oraz wideo, a także prezentowanych materiałów i wysyłanych plików. W WebEx-ie korzysta się również z certyfikatów, które zapewniają bezpieczną komunikacje pomiędzy elementami systemu. Do tworzenia certyfikatów używane się funkcje haszujące (SHA) i klucze prywatne (RSA). Cisco WebEx Meeting Server wspiera certyfikaty zgodne ze standardem X.509 z kodowaniem PEM i DER oraz z wykorzystaniem szyfrowania PKSC12. WebEx Meeting Server umożliwia korzystanie z usług katalogowych wykorzystując protokół LDAP do zarządzania użytkownikami i uwierzytelniania. Dzięki temu użytkownik uzyskuje dostęp do systemu używając na przykład firmowego adresu jako loginu oraz hasła takiego jak w usłudze Active Directory. Wymagania sprzętowe Jak w każdym systemie wideokonferencyjnym, tak i tutaj istnieje kwestia minimalnych wymagań sprzętowych -kiedy WebEx będzie działał prawidłowo. Tab. 1 prezentuje odpowiednie wymagania z uwzględnieniem pojemności systemu : 50, 250, 800 i 2000 użytkowników. Podsumowanie WebEx Meeting jest bardzo dobrym narzędziem do pracy online w firmach składających się z wielu rozproszonych oddziałów. Do prawidłowego działania usługi potrzebny nam jest jedynie dostęp do Internetu i odpowiednio skonfigurowane urządzenie mobilne lub komputer PC. WebEx pozwala na szybką i niezawodną komunikację. System jest bardzo elastycznym rozwiązaniem. Może z niego korzystać od kilku do 2000 jednoczesnych użytkowników. Opracowano na podstawie oficjalnych materiałów producenta. N.J. 46 W dużych korporacjach do zalogowania się do systemu WebEx wykorzystuje się dane z Active Directory. Cisco Integrujemy przyszłość

47 Numer: II/2016 (135) RSA Advanced SOC Zarządzanie środowiskiem informatycznym staje się coraz większym wyzwaniem. Wraz z wzrostem technologii wzrasta również trudność ochrony zasobów. Zespoły bezpieczeństwa potrzebują inteligentnych systemów do zarządzania, monitorowania i chronienia krytycznych danych. Rozwiązania oparte na sygnaturach i statycznej ochronie obecnie nie wystarczają do zapobiegania atakom. Potrzebne są nowe rozwiązania zapewniające całkowity przegląd środowiska informatycznego oraz analizujące zewnętrzne źródła informacji o zagrożeniach. RSA staje naprzeciw tym wyzwaniom i oferuje zaawansowane centrum ds. bezpieczeństwa (ang. Advanced Security Operation Center ASOC) czyli zintegrowany zestaw narzędzi do wczesnego wykrywania ataków oraz podejmowania odpowiednich decyzji. Architektura Budowa ASOC polega na interaktywnym wykorzystaniu narzędzi przez zespoły bezpieczeństwa w celu stworzenia miejsca, gdzie dane pozyskane z wielu źródeł zbudują przejrzystość organizacji oraz pozwolą na zidentyfikowanie najbardziej zagrożonych miejsc i zabezpieczeniu ich. Rys. 1 przedstawia model systemu analityki bezpieczeństwa, który jest podzielony na tzw. fazy. W fazie pierwszej wyróżniamy cztery główne źródła danych, dzięki którym uzyskujemy pełną widoczność w celu określenia i zbadania ataków: pakiety sieciowe - przedstawiają kompletny obraz zdarzeń z wybranych miejsc w sieci logi - dostarczają informacje o zdarzeniach i działaniach dotyczących systemu informatycznego przepływy NetFlow - zbierają informacje o ruchu w sieciach IP stacje końcowe - analizowanie systemów operacyjnych w celu wykrywania złośliwego oprogramowania Rys. 1 W fazie drugiej wykrywane i analizowane są zaawansowane ataki przed wpływem na działanie środowisk produkcyjnych. Raportowanie, przeszukiwanie starszych informacji o poprzednich zdarzeniach oraz odpowiednie reguły pozwalają Architektura RSA Advanced Security Operation Center Biuletyn Informacyjny SOLIDEX 47

48 ROZWIĄZANIA zespołom bezpieczeństwa na znajdowanie zagrożeń natychmiastowo. Faza trzecia to podjęcie ukierunkowanych działań w celu zapobiegania najważniejszym incydentom. Dzięki odpowiednim narzędziom, które dogłębnie analizują zebrane informacje zespoły bezpieczeństwa są wstanie zapobiec krytycznym atakom. RSA Advanced SOC (elementy składowe) RSA Security Analytics To platforma monitorująca, która jest w stanie dostosować się do potrzeb każdej organizacji. Zbiera dwa typy danych z infrastruktury sieciowej - pakiety danych oraz logi - dzięki czemu pozwala na analizę całego ruchu sieciowego. Kluczowymi aspektami architektury są: rozproszone gromadzenie danych z wykorzystaniem modułowej architektury analizowanie 100% ruchu sieciowego i logów w czasie rzeczywistym magazynowanie zestawów danych dotyczących bezpieczeństwa raportowanie, śledzenie i administrowanie danych korelacja danych z innymi systemami RSA Security Analytics obecnie dostępny jest w wersji Graficzny interfejs użytkownika oparty jest na przeglądarce internetowej do administrowania architekturą, konfiguracji ustawień oraz zarządzania prawami do określonych zasobów. Poprzez wysoką intuicyjność, szybką rejestrację i analizę danych uruchamia odpowiednie alarmy i generuje raporty. Posiada wbudowany interfejs do zarządzania incydentami. Zapisuje sesje w celu ich późniejszej analizy. Wyszukuje złośliwe oprogramowania malware. Wydajny interfejs śledczy, który jest prosty w obsłudze, umożliwia przeszukiwanie nie tylko surowych danych, lecz także metadanych, a nawet obydwa typy w tym samym momencie. Moduły zostały podzielone w odpowiedni i przejrzysty sposób. Moduł Live centralnie zarządza subskrypcją i dystrybucją danych. Moduł Administracyjny pozwala na sprawne zarządzanie urządzeniami. Enterprise Compromise Assessment Tool (RSA ECAT) Narzędzie do wykrywania zagrożeń na urządzeniach końcowych. Pomaga wykrywać, analizować i odpowiadać na zaawansowane szkodliwe oprogramowanie bez bazowania na sygnaturach. Udostępnia informacje o rozpoznanych zagrożeniach. W prosty sposób integruje się z pozostałymi narzędziami rozwiązań RSA, przez co zapewnia pełny wgląd w to, co dzieje się w końcowych punktach sieci (Rys. 2). Zadania RSA ECAT: stałe monitorowanie wszystkich urządzeń końcowych i ich aktywności. Pełny wgląd na to, co dzieje się na danej maszynie, niezależnie od tego, czy urządzenie jest podłączone do sieci Rys. 2 Integracja narzędzia RSA ECAT z innymi narzędziami 48 Integrujemy przyszłość

49 Numer: II/2016 (135) głębokie wnikanie w funkcjonowanie urządzeń końcowych polegające między innymi na kontroli dysków fizycznych, analizy przepływu ruchu w sieci bądź monitorowaniu pamięci wykorzystywanie narzędzia ECAT agent, który nie wpływa na działanie urządzeń, a potrafi zebrać informacje o zasobach i profilach urządzeń końcowych automatyczne skanowanie nieznanych plików, procesów, które pojawią się na urządzeniu końcowym dynamiczne reagowanie na podejrzane działania i przypisywanie im określonych flag w celu późniejszej analizy. Wykorzystanie inteligentnego algorytmu, który potrafi sam się uczyć. Obecnie dostępna jest wersja RSA ECAT 4.0. Jedna z ważniejszych jej funkcjonalności to zmodyfikowana baza danych, która przyspiesza analizę danych oraz zwiększa obsługę serwera do 50 tysięcy systemów końcowych. Ponadto istotne są: zmodyfikowany interfejs, prosty konfigurowalny pulpit czy predefiniowane widgety, a także: przenoszenie paneli na różne ekrany, korelacja danych z Security Analytics o podejrzanych incydentach oraz aktualizowanie informacji o zagrożeniach za pomocą RSA Live. Należy też wspomnieć o wsparciu dla systemów Mac OS X. RSA Security Operations Management (SecOps) Narzędzie pozwalające przedsiębiorstwom na jednoczesne zgranie ludzi, procesów oraz technologii do efektywnego wykrywania i odpowiadania na incydenty bezpieczeństwa (Rys. 3). Umożliwia scentralizowane reagowanie na zagrożenia. Rozwiązanie out-of-the-box służące do zarządzania incydentami, ustawiania priorytetów przebiegu prac. Odpowiednie raportowanie o naruszaniu ochrony danych. Kontrolowanie efektywności zarządzania bezpieczeństwem. Kluczowe funkcjonalności: Incident Response- zbiera informacje o zagrożeniach z różnych mechanizmów Rys. 3 Integracja RSA SecOps z RSA Security Analytics bezpieczeństwa używając standardowych protokołów. Gromadzi informacje w postaci kontekstów z różnych źródeł. Analizuje konteksty podczas śledzenia incydentów. Bazuje na najlepszych praktykach zarządzania. Breach Response zarządza odpowiednimi zadaniami i procedurami poprzez angażowanie kluczowych zainteresowanych SOC Program Management - monitoruje kluczowe wskaźniki efektywności i skuteczności, zarządza całością załogi Business Risk Management - ocenia ryzyko i wpływ incydentów bezpieczeństwa na działanie organizacji RSA Advanced Cyber Defense (ACD) Practice Zestaw profesjonalnych usług, które pomagają firmom poprawić ich bezpieczeństwo oraz przygotować je na możliwość odpowiedzi na zagrożenia i możliwość ewoluowania w środowisku zagrożenia. Usługi pomagają również w opracowaniu odpowiednich strategii i taktyk w celu rozbudowy i poprawy bezpieczeństwa. Szczególny nacisk położony jest na projektowanie i optymalizację centów ds. bezpieczeństwa jak również zespołów reagowania na incydenty bezpieczeństwa oraz efektywne wykorzystywanie zagrożeń. Biuletyn Informacyjny SOLIDEX RSA Advanced Cyber Defense Training & Certification Zestaw kursów edukacyjnych, które zapewniają kompleksową ścieżkę nauczania dla analityków bezpieczeństwa. Szkolenia koncentrują się na lepszym wykrywaniu i analizowaniu zagrożeń wpływających na działanie organizacji. Kursy mają na celu zachęcić klientów do zmiany podejścia w zakresie bezpieczeństwa IT z reaktywnego na proaktywne. Czy warto? Obecnie SIEM jest niewystarczający, ponieważ jedynie ścisła współpraca inteligentnych narzędzi może stworzyć kompletną platformę do zarządzania bezpieczeństwem. Również niezbędni są ludzie oraz procedury zarządzające posiadanymi narzędziami. Podsumowując, zaawansowane centrum ds. bezpieczeństwa ASOC to idealne rozwiązanie dla każdej organizacji, która ceni sobie najwyższe standardy bezpieczeństwa. Odbiorca otrzymuje platformę pozwalającą na skrócenie czasu reakcji na ataki, szybką i odpowiednią analizę zdarzeń, informację o zasobach dotkniętych zdarzeniem oraz opracowane środki zaradcze. Opracowano na podstawie oficjalnych materiałów producenta. P. R. 49

50 Jesteśmy wiodącym polskim integratorem technologii IT. Bazując na produktach najlepszych światowych producentów rozwiązań informatycznych oraz doskonałej wiedzy i wieloletnim doświadczeniu naszej kadry inżynierskiej, dostarczamy naszym Klientom kompletne systemy wspomagające i zabezpieczające ich działalność biznesową. SOLIDne Systemy Bezpieczeństwo IT Serwery i przechowywanie danych Routing & Switching SOLIDne Usługi Collaboration Wsparcie w utrzymaniu sieci/systemów Dostawy sprzętu i usługi gwarancyjne Doradztwo i projektowanie Serwis urządzeń Wdrożenia SOLIDne Oprogramowanie Profesjonalne oprogramowanie dla usług IT Obszary działania SOLIDEX: Systemy bezpieczeństwa Systemy transmisji obrazu i głosu Sieciowe systemy transmisji danych Systemy przetwarzania i przechowywania danych Systemy zarządzania i utrzymywania infrastruktury teleinformatycznej Systamy dystrybucji treści Centrala w Krakowie ul. J. Lea 124, Kraków tel , fax: , solidex@solidex.com.pl

51 Wybrane referencje: Bank Pekao S.A. CanPack Centrum Cyfrowej Administracji w Warszawie Credit Agricole Bank Polska S.A. Capgemini Polska Sp. z o.o. Enea Operator Sp. z o.o. Grupa ING INEA S.A. KGHM Polska Miedź S.A. Komenda Główna Policji mbank S.A. Ministerstwo Finansów Poczta Polska S.A. Polkomtel S.A. Polska Spółka Gazownictwa Sp. z o.o. Vienna Insurance Group Polska Sp. z o.o. Uniwersytet Jagielloński UPC Polska Sp. z o.o.