Obni anie kosztów eksploatacji sieci za pomocà oprogramowania ISA Server 2004



Podobne dokumenty
Filtrowanie w warstwie aplikacji w serwerze ISA Server 2004

Bezpieczny zdalny dost p dzi ki oprogramowaniu ISA Server 2004

ISA Server 2004 dla małych i Êrednich przedsi biorstw

Nowe i udoskonalone funkcje produktu

Ochrona serwerów Web Microsoft Internet Information Services za pomocà oprogramowania ISA Server 2004

Przyspieszenie komunikacji internetowej dzi ki funkcjom buforowania WWW w oprogramowaniu ISA Server 2004

Zdalne logowanie do serwerów

Microsoft Management Console

aplikacja hostingowa neostrada tp

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Instrukcja konfiguracji funkcji skanowania

Najlepsze procedury zapewniajàce wydajnoêç oprogramowania ISA Server 2004

SIŁA PROSTOTY. Business Suite

Podziękowania... xiii Wstęp... xv 1 Przegląd funkcji administracyjnych programu Microsoft ISA Server

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Connectivity komunikacja systemu iscala z innymi aplikacjami making global business

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

System Kancelaris. Zdalny dostęp do danych

Postpaid_01_2010_ qxd:Layout 1 1/15/10 5:44 PM Page 1. 2x wi cej minut i SMS-ów za t samà cen

Sieci komputerowe i bazy danych

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA ZDROWIA 1) z dnia 28 kwietnia 2004 r.

IMPORT PRZELEWÓW. 1. Schemat dzia ania funkcji IMPORT PRZELEWÓW Dodatkowe zabezpieczenia funkcjonalnoêci IMPORT PRZELEWÓW 2

Produkty. MKS Produkty

INSTRUKCJE UŻYTKOWNIKÓW

Włącz autopilota w zabezpieczeniach IT

Pomoc dla r.

TECHNIK INFORMATYK - STYCZE 2010 Przyk adowe rozwi zanie (Zadanie nr 1)

Sieci VPN SSL czy IPSec?

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Ogólne bezpieczeƒstwo produktów

Instrukcja. Suscriptor.

INFORMATOR TECHNICZNY WONDERWARE

DESlock+ szybki start

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Symantec Backup Exec System Recovery 7.0 Server Edition. Odtwarzanie systemu Windows w ciągu najwyżej kilkudziesięciu minut nie godzin czy dni

Podstawy bezpieczeństwa

Brama typu ALU to typowa brama przemys owa o maksymalnym przeszkleniu

1. neostrada tp instalacja i aktywacja us ugi 250,00 55,00 305,00

Small Business Server 2008 PL : instalacja, migracja i konfiguracja / David Overton. Gliwice, cop Spis treści

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

BG-II-211/35/ Warszawa, r.

Instrukcja instalacji oprogramowania TSG wer. 5.0 z dost pem do danych poprzez sie Internet.

Konfiguracja programu Outlook 2007 do pracy z nowym serwerem poczty (Exchange)

Marek Pyka,PhD. Paulina Januszkiewicz

Pełna specyfikacja pakietów Mail Cloud

Lab5 - Badanie protokołów pocztowych

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Pełna specyfikacja pakietów Mail Cloud

Instrukcja pod czenia komputera z systemem Microsoft Windows Vista/7 do sieci PWSZ-FREE-WIFI

Zdalne odnawianie certyfikatów do SWI

Wyszczególnienie tytu u op aty. Instalacja àcza, na którym Êwiadczona b dzie us uga dost p do Internetu DSL tp **. Wyszczególnienie tytu u op aty

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Konfiguracja konta pocztowego na szkolnym serwerze

Sieci komputerowe cel

Kancelaris - Zmiany w wersji 2.50

9. Internet. Konfiguracja połączenia z Internetem

PAKIET ONEOFFICE DLA TWOJEJ FIRMY OD R KI. dostaniesz minut na rozmowy od teraz równie usługi komórkowe

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

videostrada tp przewodnik u ytkownika telewizja tp

Opis instalacji systemu Intranet Komunikator

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

ARIES-IT Profesjonalne Usługi Informatyczne dla Firm i Instytucji, Outsourcing IT

GEO-SYSTEM Sp. z o.o. GEO-RCiWN Rejestr Cen i Wartości Nieruchomości Podręcznik dla uŝytkowników modułu wyszukiwania danych Warszawa 2007

Poniżej instrukcja użytkowania platformy

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Nowa funkcjonalnoêç,,aktywowanie odbiorców w systemie bankowoêci internetowej

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Wersja z dn r.

Warunki Oferty PrOmOcyjnej usługi z ulgą

Konfiguracja historii plików

Sieć komputerowa grupa komputerów lub innych urządzeo połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

Poniżej znajduje się instrukcja konfiguracji najpopularniejszych programów do obsługi poczty.

Tomasz Greszata - Koszalin

Atlas Copco Systemy odzyskiwania energii. Maksimum oszcz dnoêci

Instalacja Active Directory w Windows Server 2003

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Opis obsługi systemu Ognivo2 w aplikacji Komornik SQL-VAT

Zad.1 Pokazać pierwszeństwo trybu odmów przed zezwalaj.

BlackBerry Internet Service. Wersja: użytkownika. Podręcznik

Umowy Dodatkowe. Przewodnik Ubezpieczonego

Instrukcja obiegu i przechowywania dokumentacji WZSzach

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

Protokoły zdalnego logowania Telnet i SSH

Pracownia internetowa w ka dej szkole (edycja 2004/2005)

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Zapewnienie dostępu do Chmury

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Ekonomiczny Uniwersytet Dziecięcy

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

Internetowy serwis Era mail Aplikacja sieci Web

Serwer faksowy Vidicode. kompletne rozwiązanie do komunikacji faksowej dla każdego przedsiębiorstwa

Wdrożenie systemu Inteligentnego Opomiarowania (AMI) w Energa-Operator. 8 grudnia 2010

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

SMB protokół udostępniania plików i drukarek

Transkrypt:

Obni anie kosztów eksploatacji sieci za pomocà oprogramowania ISA Server 2004 Artykuł przeglàdowy Czerwiec 2004 Najnowsze informacje znajdujà siê pod adresem: http://www.microsoft.com/poland/isaserver/

Spis treêci Wprowadzenie..................................................................... 1 Zyski z zastàpienia linii dzier awionych typu punkt -punkt sieciami VPN mi dzy oêrodkami, realizowanymi za pomocà oprogramowania ISA Server 2004................................... 1 Scenariusz 1: Natychmiastowe oszcz dnoêci wynikajàce z przejêcia z dedykowanych łàczy WAN na połàczenia VPN mi dzy oêrodkami z wykorzystaniem oprogramowanie ISA Server 2004........ 2 KorzyÊci z zastosowania buforowania stron WWW za pomocà oprogramowania ISA Server 2004 w sieciach oddziałowych i w siedzibie głównej............................................. 4 Scenariusz 2: Natychmiastowe oszcz dnoêci wynikajàce z zastosowania buforowania stron WWW przez oprogramowanie ISA Server 2004............................................... 5 KorzyÊci wynikajàce z wykorzystania zapór ISA Server 2004 w połàczeniu z serwerem Microsoft Exchange........................................................ 6 Scenariusz 3: Planowane oszcz dnoêci wynikajàce z zabezpieczenia komputerów z serwerem Exchange za pomocà zapór ISA Server 2004.................................. 7 Wnioski.......................................................................... 9

Wprowadzenie Sieci firmowe sà coraz cz Êciej atakowane z Internetu, dlatego stosowanie zapór stało si dla współczesnych przedsi biorstw koniecznoêcià. èródłem problemów sà nie tylko włamywacze z zewnàtrz, ale tak e u ytkownicy znajdujàcy si wewnàtrz sieci firmowej niezale nie od tego, czy naruszajà bezpieczeƒstwo celowo, czy nie. W rezultacie dobra zapora sieciowa musi byç w stanie nie tylko chroniç sieç firmowà przed niepo àdanym dost pem z zewnàtrz, ale tak e zapobiegaç zagro eniom wewnàtrznym, a przynajmniej ograniczaç je. Wszyscy specjaliêci od bezpieczeƒstwa i sieci dobrze rozumiejà, e zapory na styku z Internetem i na obrze u sieci sà niezb dnà cz Êcià wszechstronnej strategii obrony. Mogà oni jednak mieç kłopoty z wyjaênieniem potencjalnego zwrotu z inwestycji, jaki ich przedsi biorstwo mo e uzyskaç dzi ki zastosowaniu takich zapór. W rezultacie zarzàd firmy mo e traktowaç wydatki na bezpieczeƒstwo jako cz Êç kosztów działalnoêci, nie doceniajàc potencjalnego zwrotu z inwestycji zarówno natychmiastowego, jak i długoterminowego jaki mo e zapewniç skuteczny schemat zabezpieczeƒ. W niniejszym artykule przeanalizowano trzy wzajemnie powiàzane scenariusze. Na ich przykładzie wyraênie widaç, e zaawansowana zapora obsługujàca warstw aplikacji, taka jak na przykład Microsoft Internet Security and Acceleration (ISA) Server 2004, mo e nie tylko zapewniç firmie spokój i ciàgłoêç działania, ale tak e polepszyç jej wyniki finansowe. Scenariusze te demonstrujà korzyêci, jakie w zakresie kosztów zapewnia: zastàpienie łàczy dzier awionych typu punkt- -punkt sieciami VPN mi dzy oêrodkami, realizowanymi za pomocà oprogramowania ISA Server 2004; wykorzystanie w sieciach oddziałów i w głównej siedzibie funkcji buforowania stron WWW dost pnej w oprogramowaniu ISA Server 2004; zastosowanie zapory ISA Server 2004 do ochrony komputerów z oprogramowaniem Microsoft Exchange Server. Ka dy z tych scenariuszy jest oparty na poprzednich, zapewniajàc zarówno natychmiastowe, jak i długoterminowe zmniejszenie wydatków przedsi biorstwa. Zyski z zastàpienia linii dzier awionych typu punkt- -punkt sieciami VPN mi dzy oêrodkami, realizowanymi za pomocà oprogramowania ISA Server 2004 Wi kszoêç przedsi biorstw ma głównà siedzibà oraz wiele oddziałów albo filii. Zazwyczaj oddziały sà połàczone z głównym biurem za pomocà dedykowanych łàczy dzier awionych typu punkt- -punkt, tak e komunikacja nie przechodzi przez Internet. Takie łàcza WAN cechujà si wysokà niezawodnoêcià, cz sto jednak sà zbyt kosztowne i pochłaniajà wi kszoêç rocznego bud etu na dział informatyczny firmy. Przedsi biorstwo mo e znacznie obni yç swoje roczne koszty, zast pujàc dedykowane łàcza WAN typu punkt-punkt ekonomicznymi sieciami VPN mi dzy oêrodkami (site-to-site). Połàczenia typu punkt-punkt sà kosztowne, poniewa stosuje si w nich obwody dedykowane lub stałe obwody wirtualne (PVC). Natomiast w łàczach VPN mi dzy oêrodkami noênikiem transmisji jest Internet, w którym przy u yciu technologii VPN jest tworzone wirtualne połàczenie typu punkt-punkt. W tym podejêciu zarówno w głównej siedzibie, jak i w oddziałach drogie łàcza dzier awione sà zast powane połàczeniami internetowymi oraz instalowane sà routery VPN, które kierujà informacje 1

mi dzy biurami przez sieç publicznà za pomocà bezpiecznego tunelu VPN. Aby takie połàczenia VPN mi dzy oêrodkami miały zastosowanie, muszà byç bezpieczne. Łàcza dzier awione zapewniajà wysoki poziom bezpieczeƒstwa, poniewa przedsi biorstwa telekomunikacyjne nie kierujà ruchu przez sieci publiczne: ruch pozostaje w sieciach, nad którymi majà one Êcisłà kontrol. Z kolei Internet jest współu ytkowanà siecià publicznà, która nie ma scentralizowanej infrastruktury sterowania i kontroli. Dlatego wszelka komunikacja przechodzàca przez publicznà sieç, jakà jest Internet, musi byç zabezpieczona silnym szyfrowaniem danych, które zapewni, e nawet jeêli dane zostanà przechwycone mi dzy siecià w głównej siedzibie a sieciami oddziałowymi, to nie zostanà odczytane. Rozwiàzania VPN składajà si z dwóch oddzielnych, ale majàcych elementy wspólne technologii: Aspekt wirtualny. Komputery uczestniczàce w połàczeniu VPN korzystajà z metod sieci wirtualnych, oszukujàc działajàce na poszczególnych maszynach aplikacje i usługi, tak aby te myêlały, e komputer jest bezpoêrednio połàczony z siecià zdalnà. W efekcie komputery te działajà tak, jakby znajdowały si w tej samej sieci firmowej, gdy w rzeczywistoêci sà odległe od siebie o setki lub tysiàce kilometrów i połàczone tylko przez Internet. Przykłady technologii sieci wirtualnych to: L2TP, PPTP i tryb tunelowania IPSec. Aspekt prywatny. Technologia VPN szyfruje komunikacjà przechodzàcà przez tunel sieci wirtualnej, chroniàc go przed atakami z Internetu. Dwoma najcz Êciej u ywanymi w tym celu protokołami sà: MPPE (Microsoft Point to Point Encryption), u ywany przez protokół VPN PPTP, oraz IPSec, u ywany przez protokoły VPN L2TP/ IPSec i tryb tunelowania IPSec. Zapory Microsoft ISA Server 2004 obsługujà połàczenia VPN mi dzy oêrodkami przy u yciu protokołów PPTP, L2TP/IPSec oraz trybu tunelowania IPSec. Scenariusz 1: Natychmiastowe oszcz dnoêci wynikajàce z przejêcia z dedykowanych łàczy WAN na połàczenia VPN mi dzy oêrodkami z wykorzystaniem oprogramowanie ISA Server 2004 Uwaga: Koszty dedykowanych łàczy WAN i łàczy internetowych mogà znacznie ró niç si mi dzy sobà w zale noêci od lokalizacji i daty zakupu. U yte w tym scenariuszu wartoêci w dolarach odpowiadajà przeci tnym cenom (w momencie pisania tego dokumentu) u dwóch dostawców usług internetowych w Dallas w Teksasie Southwestern Bell i August.net. W tym scenariuszu opisano firmà Cosoftcom, du e przedsi biorstwo zajmujàce si opracowywaniem i dystrybucjà oprogramowania. Ma ono głównà siedzib w Dallas w Teksasie oraz pi ç oddziałów ulokowanych w ró nych stanach Ameryki Północnej. W ka dym oddziale pracuje 500 pracowników, którzy wymagajà dost pu ze swoich komputerów do zasobów w siedzibie głównej. W siedzibie głównej pracuje 5000 pracowników. Siedziba główna jest połàczona łàczem T3 z oddziałami oraz Internetem. Cena dzier awy tego łàcza wynosi 18 000 USD miesi cznie. Ka dy oddział ma łàcze dzier awione T1, zapewniajàce dedykowane połàczenie z siedzibà głównà. Cena ka dego takiego łàcza wynosi 2000 USD miesi cznie. Oddziały uzyskujà dost p do Internetu za poêrednictwem siedziby głównej, w której działa tradycyjna szybka zapora zabezpieczajàca jej sieç przed dost pem z Internetu. Firma Cosoftcom zdecydowała si zastàpiç pi ç łàczy dzier awionych T1 zaporami ISA Server 2004 2

w ka dym oddziale oraz w siedzibie głównej. W ka dym oddziale zainstaluje łàcza T1 do Internetu oraz skonfiguruje połàczenia VPN mi dzy poszczególnymi oddziałami a siedzibà głównà. Podstawowy koszt łàczy T1 zapewniajàcych dost p do Internetu wynosi 400 USD miesi cznie w tej cenie mo na przesłaç 130 GB danych miesi cznie. JeÊli oddział przekroczy t wartoêç, ponosi opłatà w wysokoêci 5 USD za ka dy dodatkowy gigabajt. Firmowe łàcze T3 jest wyceniane według struktury warstwowej, zale nie od Êredniego wykorzystania przepustowoêci. In ynierowie sieci w firmie Cosoftcom przez ostatnie 12 miesi cy monitorowali funkcjonowanie sieci mi dzy oddziałami a siedzibà głównà. Ustalili, e Êrednie miesi czne wykorzystanie przepustowoêci na ka de łàcze miedzy oddziałem a siedzibà głównà wynosi od 250 do 350 GB. Ka dy oddział przekracza wi c maksymalne wykorzystanie przepustowoêci, ale mimo to zastàpienie dedykowanych łàczy WAN połàczeniami VPN realizowanymi przy u yciu oprogramowania ISA Server 2004 spowoduje znaczne obni enie miesi cznych wydatków na połàczenia dla oddziałów. Dane w tabeli 1 potwierdzajà, e takie podejêcie pozwoli firmie Cosoftcom zaoszcz dziç 4000 USD miesi cznie, czyli 48 000 USD rocznie. Tabela 1. Zysk z inwestycji w zastàpienie dedykowanych łàczy dzier awionych bramami VPN opartymi na oprogramowaniu ISA Server 2004 Biuro Typ połàczenia Miesi czny koszt Typ połàczenia Podstawowy miesi czny koszt Opłaty za przekroczenie (5 USD/1 GB) Łàczny miesi czny koszt Miesi czne oszcz dnoêci z sieci VPN razem Oddział 1 T1 (prywatne) 2000 USD T1 (Internet) 400 USD (130 GB) 850 USD (170 GB) 1 250 USD 750 USD Oddział 2 T1 (prywatne) 2000 USD T1 (Internet) 400 USD (130 GB) 600 USD (120 GB) 1 000 USD 1 000 USD Oddział 3 T1 (prywatne) 2000 USD T1 (Internet) 400 USD (130 GB) 1100 USD (220 GB) 1 500 USD 500 USD Oddział 4 T1 (prywatne) 2000 USD T1 (Internet) 400 USD (130 GB) 600 USD (120 GB) 1 000 USD 1 000 USD Oddział 5 T1 (prywatne) 2000 USD T1 (Internet) 400 USD (130 GB) 850 USD (170 GB) 1 250 USD 750 USD Siedziba główna T3 18 000 USD T1 (Internet) 18 000 USD Wycena warstwowa 18 000 USD USD RAZEM 28 000 USD 20 000 USD 4000 USD 24 000 USD 4000 USD Oszcz dnoêci na przepustowoêci po zainstalowaniu w siedzibie głównej i oddziałach bram VPN ISA Server 2004, które zastàpiły dotychczasowe dedykowane łàcza dzier awione typu punkt- -punkt. Oszcz dnoêci roczne 48 000 USD 3

KorzyÊci z zastosowania buforowania stron WWW za pomocà oprogramowania ISA Server 2004 w sieciach oddziałowych i w siedzibie głównej Gdy u ytkownicy w siedzibie głównej i oddziałach firmy Cosoftcom łàczà si ze stronami internetowymi, ka dy z nich nawiàzuje własne połàczenie z serwerem WWW i odbiera àdanà zawartoêç stron. Nawet wtedy, gdy wielu u ytkowników korzysta z tej samej zawartoêci, ka dy z nich nawiàzuje własne połàczenie z serwerem WWW. W zale noêci od lokalizacji u ytkownika ka de z tych połàczeƒ generuje ruch albo na łàczu z siecià siedziby głównej, albo zarówno na tym łàczu, jak i na łàczu z siecià oddziału. Wiedzàc, e znaczna cz Êç przepustowoêci sieci i Internetu marnuje si, gdy u ytkownicy wielokrotnie àdajà tej samej zawartoêci, twórcy aplikacji internetowych cz sto zwi kszajà dost pnà przepustowoêç i wydajnoêç poprzez przechowywanie czyli buforowanie zawartoêci stron na serwerach lokalnych. Dzi ki temu, gdy kolejni u ytkownicy za àdajà tej samej treêci WWW, jest ona zwracana z buforu znajdujàcego si na komputerze w sieci korporacyjnej, co pozwala uniknàç generowania ruchu na łàczach internetowych. Za pomocà procesu buforowania stron WWW zwanego tak e łaƒcuchem proxy WWW mo na znacznie zmniejszyç poziom wykorzystania przepustowoêci połàczeƒ internetowych oddziałów i siedziby głównej. Na rysunku 1 pokazano, co zachodzi, gdy u ytkownik w oddziale nawiàzuje połàczenie internetowe. 1. Klient WWW wysyła do serwera buforujàcego w oddziale àdanie wyêwietlenia treêci strony WWW. 2. Je li w buforze serwera proxy WWW w oddziale znajduje si aktualna wersja treêci strony (to znaczy informacja w jej nagłówku wskazuje, e czas jej wa noêci nie minàł), to serwer ten zwraca treêç strony u ytkownikowi, który jej za àdał. 3. Je li w buforze serwera w oddziale nie ma àdanej treêci strony WWW (lub treêç ta jest ju niewa na), serwer przekazuje àdanie w górà łaƒcucha proxy do serwera buforujàcego WWW w siedzibie głównej. 5. Je li na tym serwerze znajduje si aktualna kopia àdanej strony, serwer zwraca jà do serwera buforujàcego WWW w oddziale. Serwer ten umieszcza treêç strony we własnym buforze WWW, a nast pnie zwraca jà u ytkownikowi oddziału, który jej za àdał. 6. Je li na serwerze znajdujàcym si w gór łaƒcucha nie ma aktualnej kopii àdanej strony, serwer przekazuje àdanie do serwera WWW w Internecie. 7. Serwer WWW w Internecie zwraca àdanà treêç strony do serwera buforujàcego WWW w siedzibie głównej, który umieszcza jej kopi w swoim buforze. 8. Nast pnie serwer WWW w siedzibie głównej zwraca treêç strony do oddziałowego serwera buforujàcego WWW, który umieszcza jej kopi w swoim buforze. Wreszcie serwer buforujàcy WWW w oddziale zwraca treêç strony u ytkownikowi, który jej za àdał. Rysunek 1. Łaƒcuch serwerów proxy WWW mi dzy serwerami buforujàcymi w oddziale i w siedzibie głównej 4

Korzystajàc z zapory ISA Server 2004 zarówno w sieci siedziby głównej, jak i w sieciach oddziałowych, mo na buforowaç treêç stron WWW lokalnie w oddziałach i centralnie w siedzibie głównej. Kiedy u ytkownik w danym oddziale za àda treêci, którà przeglàdał ju inny u ytkownik w tym oddziale, lokalny komputer z oprogramowaniem ISA Server 2004 zwróci temu u ytkownikowi treêç ze swojego buforu. JeÊli treêç ta nie jest dost pna w buforze oddziału, to nadal istnieje szansa, e znajduje si ona w buforze serwera w siedzibie głównej. W rezultacie wszyscy u ytkownicy sieci firmowej majà dost p do buforowanej zawartoêci stron WWW, które zostały ju odwiedzone przez dowolnego innego u ytkownika. Pozwala to zarówno oszcz dziç czas tych u ytkowników, jak i przepustowoêç sieci przedsi biorstwa. Scenariusz 2: Natychmiastowe oszcz dnoêci wynikajàce z zastosowania buforowania stron WWW przez oprogramowanie ISA Server 2004 Po osiàgni ciu korzyêci wynikajàcych z zastàpienia dedykowanych linii dzier awionych łàczami VPN opartymi na oprogramowaniu ISA Server 2004, in ynierowie sieci firmy Cosoftcom zamierzajà obni yç miesi czne koszty wykorzystywanej przepustowoêci. W tym celu zostanà zastosowane funkcje buforowania stron WWW na komputerach z oprogramowaniem ISA Server 2004 w siedzibie głównej i w oddziałach. Przeanalizowano aktywnoêç korzystania z sieci WWW przez pracowników firmy i oceniono, e dzi ki buforowaniu poziom wykorzystania przepustowoêci obni y si o 15 20% w ka dym oddziale oraz o 30% w siedzibie głównej. Dane w tabeli 2 potwierdzajà, e dzi ki obni eniu poziomu wykorzystania przepustowoêci poprzez buforowanie stron WWW firma Cosoftcom zaoszcz dzi 4400 USD miesi cznie razem 52 800 rocznie i 264 000 w ciàgu pi ciu lat. Tabela 2. Zwrot z inwestycji w zwiàzku z wykorzystaniem w sieciach oddziałów i siedziby głównej serwerów buforujàcych WWW ISA Server 2004 Biuro MiesiÊczne wykorzystanie przepustowoêci (GB) Koszt podstawowej miesi cznej przepustowoêci Miesi czny koszt przekroczenia wykorzystania bez buforowania Łàczny miesi czny koszt bez buforowania Zmniejszenie wykorzystania przepustowoêci dzi ki buforowaniu MiesiÊczny koszt przekroczenia wykorzystania z buforowaniem Łàczny miesi czny koszt z buforowaniem Oddział 1 300 400 USD (130 GB) 850 USD (170 GB) 1250 USD 20% 680 USD 1 080 USD Oddział 2 250 400 USD (130 GB) 600 USD (120 GB) 1000 USD 15% 480 USD 880 USD Oddział 3 350 400 USD (130 GB) 1 100 USD (220 GB) 1500 USD 20% 880 USD 1 280 USD Oddział 4 250 400 USD (130 GB) 600 USD (120 GB) 1000 USD 15% 480 USD 1 080 USD Oddział 5 300 400 USD (130 GB) 850 USD (170 GB) 1250 USD 20% 680 USD 880 USD Siedziba główna 14 500 18 000 USD (warstwowo) nd. 18 000 USD 30% nd. 14 000 USD 1 RAZEM 20 000 USD 4000 USD 24 000 USD 19 600 USD Oszcz dnoêci w zakresie przepustowoêci osiàgni te dzi ki dodaniu Miesi czne oszcz dnoêci razem 4 400 USD serwerów buforujàcych WWW ISA Server 2004 do sieci w oddziałach Roczne oszcz dnoêci razem 52 800 USD i siedzibie głównej. Oszcz dnoêci w ciàgu pi ciu lat razem 264 000 USD 1 Ze wzglàdu na warstwowà strukturà cen zastosowanà do łàcza T3 w siedzibie głównej, 30-procentowe zmniejszenie wykorzystania przepustowoêci w siedzibie głównej nie odpowiada dokładnie obni eniu kosztów o 30%. 5

KorzyÊci wynikajàce z wykorzystania zapór ISA Server 2004 w połàczeniu z serwerem Microsoft Exchange Microsoft Exchange Server zapewnia pracownikom dost p do poczty elektronicznej, kalendarza, zadaƒ i kontaktów z dowolnego miejsca na Êwiecie, w którym jest dost p do Internetu. Zainstalowanie zapory ISA Server 2004 przed komputerem z serwerem Exchange zwi ksza jego bezpieczeƒstwo na kilka sposobów. Uwierzytelnianie oparte na formularzach. Gdy zdalni u ytkownicy próbujà zalogowaç si do skrzynki pocztowej na serwerze Microsoft Exchange Server 2003 przez przeglàdark WWW, serwer Outlook Web Access (OWA) generuje formularz logowania si. W krótkim okresie, w którym serwer OWA sprawdza dane uwierzytelniajàce u ytkownika, nieuwierzytelniony u ytkownik ma bezpoêrednie połàczenie z serwerem. Nawet jeêli serwer w koƒcu odmówi uwierzytelnienia, atakujàcy mo e wykorzystaç to połàczenie w celu uzyskania dost pu do serwera OWA. Gdy jednak przed serwerem OWA zostanie umieszczone oprogramowanie ISA Server 2004, to przejmuje ono na siebie wygenerowanie formularza logowania OWA i samo przekazuje dane uwierzytelniajàce u ytkownika do serwera OWA. Dopiero po pomyêlnym uwierzytelnieniu przez serwer OWA zapora ISA Server 2004 przyzna u ytkownikowi dost p do witryny OWA. W ten sposób ISA Server 2004 zapobiega uzyskaniu dost pu do serwera OWA przez u ytkowników nieuwierzytelnionych. Bezpieczne publikowanie RPC. Dotychczas u ytkownicy w zdalnych lokalizacjach, którzy potrzebowali dost pu do skrzynki pocztowej serwera Exchange, nie mogli korzystaç ze wszystkich funkcji udost pnianych przez serwer Exchange i aplikacj Outlook. Poniewa nie było mo liwoêci bezpiecznego łàczenia si za pomocà pełnego klienta MAPI Outlook z serwerem Exchange ze zdalnej lokalizacji, u ytkownicy zdalni musieli korzystaç z alternatywnego klienta e-mail. Powodowało to ich zmniejszonà wydajnoêç i niepełne zadowolenie z pracy z serwerem Exchange. ISA Server 2004 rozwiàzuje ten problem, u ywajàc filtru RPC, który analizuje przechodzàce przez zapor połàczenia RPC na poziomie aplikacji. Zapora przesyła do serwera Exchange tylko uprawnione połàczenia RPC, odrzucajàc wszystkie inne, na przykład wygenerowane przez robaki internetowe. Dzi ki tej funkcji u ytkownicy z firm pracuj cy poza biurem mogà nadal u ywaç dobrze znanych klientów poczty elektronicznej i korzystaç z całego wachlarza usług serwera Exchange. Bogate w mo liwoêci kreatory publikowania usług serwera pocztowego. Publikowanie usług pocztowych serwera Exchange umo liwia u ytkownikom w Internecie łàczenie si z tymi usługami. Jednak ze wzgl du na to, e ka dy dost pny z Internetu zasób mo e byç potencjalnym celem ataku, wa ne jest, aby usługi te były publikowane w bezpieczny sposób. Problem polega na tym, e konfigurowanie zapory tak, aby bezpiecznie publikowała usługi serwera Exchange dla u ytkowników Internetu, mo e byç skomplikowane a nieprawidłowe skonfigurowanie reguł publikowania mo e prowadziç do nieoczekiwanych rezultatów. ISA Server 2004 rozwiàzuje ten problem, udost pniajàc trzy intuicyjne, a zarazem bogate w mo liwoêci kreatory publikowania usług serwera pocztowego. Umo liwiajà one publikowanie usług serwera Exchange bez koniecznoêci zgadywania prawidłowych ustawieƒ. Jeden z kreatorów słu y 6

do publikowania serwera Outlook Web Access, drugi do publikowania SMTP/POP3/IMAP4, a trzeci do publikowania mi dzy serwerami pocztowymi. Ka dy z tych kreatorów umo liwia administratorowi zapory szybkie i bezpieczne opublikowanie usług pocztowych serwera Exchange w Internecie. Zmniejszenie liczby niepo àdanych wiadomoêci e-mail. Jednym z komponentów oprogramowania ISA Server 2004 jest Message Screener. Mo e on blokowaç spam na podstawie analizy ró nych cech przychodzàcej i wychodzàcej poczty elektronicznej. Cechy te to: adresat wiadomoêci, jej nadawca, obecnoêç zdefiniowanych przez administratora słów kluczowych lub ciàgów znaków, a tak e nazwa, typ pliku i wielkoêç załàczników. ISA Server mo na tak skonfigurowaç, aby w sytuacji, gdy jedna z powy szych cech odpowiada wzorcowi uznanemu za spam, wiadomoêç była natychmiast usuwana, przesyłana do administratora zabezpieczeƒ poczty elektronicznej w celu podj cia dalszych działaƒ lub zapisywana w specjalnym folderze na komputerze z oprogramowaniem ISA Server. Mo na te skonfigurowaç komponent Message Screener tak, by blokował wiadomoêci e-mail z załàcznikami, o których wiadomo, e zawierajà wirusy lub inne szkodliwe oprogramowanie. Filtry SMTP i POP3. Ataki z Internetu mogà wykorzystywaç przepełnienie bufora w celu złamania zabezpieczeƒ usług pocztowych SMTP i POP3 w serwerze Exchange. Oferowane przez ISA Server 2004 inteligentne filtrowanie w warstwie aplikacji pozwala zapobiegaç wyłàczeniu usług SMTP i POP3 lub przej ciu kontroli nad nimi przez intruzów z Internetu, poprzez blokowanie ataków na te usługi wykorzystujàcych przepełnienie bufora. Filtry SMTP i POP3 oprogramowania ISA Server 2004, działajàce w warstwie aplikacji, analizujà cały przychodzàcy ruch SMTP i POP3 oraz blokujà wszelkie sekwencje poleceƒ, które mogłyby zaburzyç działanie usług SMTP i POP3. Łàcznie wszystkie te funkcje znacznie zwi kszajà bezpieczeƒstwo instalacji serwera Exchange. To zaê oznacza potencjalnie du e oszcz dnoêci wynikajàce ze zmniejszenia ryzyka kosztów spowodowanych atakiem na serwery Microsoft Exchange. Scenariusz 3: Planowane oszcz dnoêci wynikajàce z zabezpieczenia komputerów z serwerem Exchange za pomocà zapór ISA Server 2004 W poprzednich dwóch scenariuszach przedstawiono, jak oprogramowanie ISA Server 2004 pozwala uzyskaç oszcz dnoêci dzi ki zmniejszaniu bie àcych wydatków, na przykład kosztów zwiàzanych z dedykowanymi łàczami WAN lub zbyt wysokim poziomem wykorzystania przepustowoêci. Oszcz dnoêci zwiàzane z ochronà usług sieciowych przed atakiem polegajà na czymê innym, poniewa wynikajà z zapobiegania wydatkom. W tym kontekêcie ISA Server 2004 działa jak polisa ubezpieczeniowa, w której poniesione z góry koszty zapory odpowiadajà składce ubezpieczeniowej. Ubezpieczony ma nadziej, e nigdy nie doêwiadczy negatywnych okolicznoêci, przed którymi si ubezpiecza, ale jeêli cokolwiek si stanie, to b dzie wiedział, e b dzie zabezpieczony dzi ki składkom, które opłacił. W taki sam sposób u ytkownik ma nadziej, e komputer z serwerem Exchange nigdy nie b dzie celem ataku, ale jeêli włamywacze spróbujà dostaç si do systemu, sieç b dzie w stanie znacznie lepiej si obroniç dzi ki dodatkowym zabezpieczeniom zapewnianym przez zapor ISA Server 2004. Ten scenariusz odzwierciedla oszcz dnoêci, jakie uzyska Cosoftcom dzi ki trzem rodzajom zabezpieczeƒ oferowanym przez oprogramowanie ISA Server 2004: filtrowaniu spamu, filtrowaniu 7

w warstwie aplikacji zabezpieczajàcemu przed atakami ukrytymi w wiadomoêciach e-mail, a tak e zapobieganiu wykorzystaniu firmowej poczty elektronicznej do celów rozrywkowych lub prywatnych. Filtrowanie spamu. Koszty zwiàzane ze spamem zale à od liczby pracowników, którzy odbierajà wiadomoêci, ich stawki godzinowej, liczby odbieranych wiadomoêci przez ka dego pracownika oraz czasu, jaki zajmuje usuni cie jednej wiadomoêci. W przypadku naszego przykładowego przedsi biorstwa, Cosoftcom, jego 7500 pracowników ma Êrednià pensj 30 000 USD rocznie (co daje stawk godzinowà 14.42 USD), ka dy u ytkownik odbiera Êrednio 30 e-maili ze spamem dziennie, a przeczytanie i usuni cie ka dego takiego spamu zajmuje Êrednio 5 sekund. Przy takich zało eniach łàczna strata w wydajnoêci pracy pracowników mo e wynieêç ponad 94 000 USD miesi cznie. Zapobieganie atakom dokonywanym przez wirusy, robaki i hakerów. Podobnie jak poprzednio, koszty zwiàzane z atakami robaków, wirusów w poczcie elektronicznej i hakerów zale à od liczby ataków, jakim poddawana jest sieç w ciàgu miesiàca, oraz od czasu potrzebnego na przywrócenie systemów do stanu sprzed ataku (a tak e od liczby pracowników i ich stawki godzinowej). Jeden atak hakera albo wirusa/ robaka na serwer w oddziale mo e kosztowaç a 61 000 USD. Przybli ony koszt obejmuje czas pracy dwóch administratorów poczty elektronicznej i 5 in ynierów sieci, 2 uszkodzone serwery poczty i Êrednio 50 utraconych wiadomoêci e-mail na ka dego pracownika dziennie. Ta szacunkowa ocena zawiera bezpoêrednie koszty czyszczenia, utraconej wydajnoêci pracy pracownika podczas czyszczenia, a tak e szkód spowodowanych obcià eniem serwerów pocztowych, stacji roboczych u ytkowników i innych serwerów w sieci przez wirusy. Koszty poêrednie obejmujà szkody zwiàzane z utratà wartoêci marki i zaufania do firmy, gdy wirus wychodzi z sieci firmowej i zara a inne sieci. Udany atak hakera albo robaka/wirusa na siedzibà głównà mo e spowodowaç jeszcze wi ksze zniszczenia. Zakładajàc, e do naprawienia 5 serwerów poczty i innych uszkodzeƒ potrzeba pracy 5 administratorów i 10 in ynierów sieci, a ka dy serwer dostarcza Êrednio 80 wiadomoêci dla ka dego u ytkownika dziennie, atak mo e kosztowaç nawet 387 000 USD. Zapobieganie wykorzystaniu poczty elektronicznej do celów prywatnych. Koszty zwiàzane ze spamem oraz z atakami wirusów, robaków i hakerów sà jednak niewielkie w porównaniu ze stratami, jakie powoduje wykorzystanie firmowej poczty elektronicznej do celów rozrywkowych lub prywatnych. JeÊli w ka dym oddziale firmy Cosoftcom ka dy z 500 pracowników poêwi ca 30 minut płatnego czasu pracy dziennie na prywatnà korespondencj, to koszty zmniejszonej produktywnoêci mogà siàgaç nawet 80 000 USD miesi cznie, przy zało eniu, e Êrednia roczna pensja wynosi 30 000 USD rocznie. W siedzibie głównej, gdzie zatrudnionych jest 5000 pracowników, potencjalna strata wydajnoêci pracy pracowników si ga oszałamiajàcej kwoty 792 990 USD miesi cznie. Łàczne straty zwiàzane ze zmniejszonà wydajnoêcià pracowników we wszystkich 5 oddziałach i w siedzibie głównej wynoszà ponad 1 milion USD miesi cznie. Dane przedstawione w tabeli 3 wskazujà, jakim stratom przychodów Cosoftcom mógłby zapobiec, u ywajàc oprogramowania ISA Server 2004 w celu ochrony zasobów poczty elektronicznej. 8

Tabela 3. Zwrot z inwestycji wynikajàcy z zastosowania funkcji ochrony serwera Exchange dostàpnych w oprogramowaniu ISA Server 2004 Biuro Liczba u ytkowników Liczba minut straconych miesi cznie z powodu spamu Miesi czne koszty spamu Miesi czne koszty ataków przez poczt e-mail (1 atak/miesi c) Liczba minut straconych miesi cznie z powodu wykorzystania poczty e-mail do celów prywatnych Miesi czne koszty wykorzystania poczty e-mail do celów prywatnych Łàczne miesi czne koszty braku zabezpieczeƒ serwera Exchange (spam, ataki przez e-mail i prywatne wykorzystanie razem) Oddział 1 500 26 250 6 308 USD 61 000 USD 330 000 79 299 USD 146 607 USD Oddział 2 500 26 250 6 308 USD 61 000 USD 330 000 79 299 USD 146 607 USD Oddział 3 500 26 250 6 308 USD 61 000 USD 330 000 79 299 USD 146 607 USD Oddział 4 500 26 250 6 308 USD 61 000 USD 330 000 79 299 USD 146 607 USD Oddział 5 500 26 250 6 308 USD 61 000 USD 330 000 79 299 USD 146 607 USD Siedziba główna 5 000 262 500 63 079 USD 387 000 USD 3 300 000 792 990 USD 1 466 070 USD RAZEM 7 500 393 750 94 619 USD 692 000 USD 4 950 000 1 189 485 USD 2 199 105 USD Wnioski ProfesjonaliÊci od sieci wiedzà, e konieczne sà zapory na styku z Internetem i na obrze ach sieci, chroniàce majàtek firmy. Wiele przedsi biorstw uwa a inwestycje w zapory za cz Êç kosztów prowadzenia działalnoêci, w rzeczywistoêci jednak takie inwestycje mogà przyczyniç si do zwi kszenia rentownoêci firmy poprzez obni enie bie àcych i przyszłych wydatków. Inteligentna zapora działajàca w warstwie aplikacji, taka jak ISA Server 2004, mo e pomóc przedsi biorstwu w obni eniu kosztów na kilka sposobów. BezpoÊrednie oszcz dnoêci wynikajà z przejêcia na sieç VPN mi dzy oêrodkami oraz wykorzystania funkcji buforowania stron WWW dost pnych w oprogramowaniu ISA Server 2004. Przyszłe oszcz dnoêci wynikajà z doskonałego zabezpieczenia, jakie oprogramowanie ISA Server 2004 zapewnia serwerom, na których działa oprogramowanie Microsoft Exchange Server. Łàcznie funkcje te mogà zapewniç ka demu przedsi biorstwu, które stosuje zapory ISA Server 2004, nie tylko zwi kszony poziom bezpieczeƒstwa i ciàgłoêç pracy, ale tak e krótkoi długoterminowe oszcz dnoêci. 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres