Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Очередное заседание Клуба Pro Cisco состоялось 27 апреля 2011 года на старом месте – на Старой площади в ресторане «Мили».

О развитии «сетей без границ» докладывал менеджер по развитию бизнеса, лидер локальной команды в области беспроводных ЛВС Cisco Андрей Харитонов, о решениях в области информационной безопасности - менеджер по развитию бизнеса Cisco Алексей Лукацкий, вёл заседание глава пресс-службы ООО «Сиско Системс» Александр Палладин.

Андрей Харитонов, менеджер по развитию бизнеса Cisco в области беспроводных технологий. Заседание Клуба Pro Cisco. 27 апреля 2011 г. Фото: Владислав Бояров.

Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Заседание Клуба Pro Cisco. 27 апреля 2011 г. Фото: Владислав Бояров.

Александр Палладин, глава пресс-службы ООО «Сиско Системс». Заседание Клуба Pro Cisco. 27 апреля 2011 г. Фото: Владислав Бояров.

Казалось бы, совсем недавно компания Cisco анонсировала своё видение сети без границ – и вот уже четвёртая версия. Но дело, разумеется, не в формальном количестве версий и не в правильно выбранном названии, а в сути предлагаемых решений. Напомню, что изначально «сеть без границ» понималась буквально: запуская компьютер (в смысле любое вычислительно-коммуникативное устройство – нетбук, смартфон, MID: Cisco использовала термин «информационный терминал») мы сразу же оказываемся внутри глобальной сети с её сложной структурой и огромными масштабами. То есть разница между «добезграничным» представлением и «предлагаемым» примерно такая же, как между феодальным и современным миром: раньше люди чувствовали себя в безопасности, только будучи защищены стенами замков, теперь же мы путешествуем по миру, не опасаясь выезжать за пределы своего города или страны. Разумеется, мир ещё не стал идеальным, но любой инцидент воспринимается всё же как исключение из правил, а не как обычное явление.

Должен сказать, что за полтора года, прошедшие с момента презентации «сетей без границ», эта идея ещё не вполне овладела умами специалистов, не говоря уже о рядовых пользователях.

Здравый смысл подсказывает, что находящийся за брандмауэром, будучи подключённым по проводам и работающий на полноценном компьютере, пользователь должен быть защищён лучше, чем находящийся вне офиса и входящий в сеть через беспроводное соединение со смартфона. Но тогда получается, что работать «где угодно, когда угодно и на чём угодно» не получится: работая, к примеру, из дома, сотрудник будет лишён каких-то прав доступа. А уж получив вызов на смартфон в дороге – и подавно. Так что с преимуществами концепции «сетей без границ» вряд ли кто-то будет спорить, но в реализацию поначалу не очень верилось. Забегая вперёд, скажу, что я долго мучал Алексея Лукацкого, пытаясь понять, за счёт чего удалось совершить этот прорыв, как получилось сделать доступ с потенциально незащищённых (слабозащищённых) устройств безопасным? Ответ состоял в том, что, во-первых, удалось контролировать трафик по всему маршруту, во-вторых, использовались те декларированные возможности IP-протокола (дополнительные метки пакетов), которые до сих пор никому таким образом использовать не удавалось. Кроме того, основным протоколом сейчас становится не просто IP, а HTTP, хотя и построенный на базе IP, но обладающий дополнительными возможностями.

Новая организация без границ.

В то же время рынок требовал именно такое решение: к 2015 году будет выпущено не менее 7 миллиардов беспроводных устройств, и владельцы наверняка захотят использовать их не только для развлечений. Одна из идей Cisco заключается в следующем: работа – это не место (кабинет, стол с телефонами и селектором), а процесс, который выполняет сотрудник. Интересно и то, что здесь интересы сотрудника и работодателя объективно совпадают, и самой серьёзной проблемой является не просто техническая возможность подключения на высокой скорости – со времени начала использования Intel Centrino прошло уже много лет и быструю беспроводную связь предоставляется во множестве мест – а гарантированная безопасность подключения. Хотя наличие большого количества сетей, через которые осуществляется связь, тоже создаёт проблемы: например, обычное клиентское оборудование со стандартным набором софта не позволяет определить, на каком же участке происходят сбои, если таковые наблюдаются. Особенно это важно для видео, которое, как ожидается, к 2014 году приведёт к четырёхкратному росту трафика.

Угрозы могут создавать и приложения, которые пользователь устанавливает на мобильные устройства. Да и разнообразие мобильных устройств тоже не настраивает на оптимистический лад.

Архитектура сети без границ.

Тем не менее, в 4-й версии архитектуры «сетей без границ» Cisco удалось разрешить эти, казалось бы, неразрешимые (как раньше у нас говорили - антагонистические) противоречия. Прежде всего, это сделано за счёт централизованного унифицированного управления всеми устройствами, взаимодействующими с предоставляемыми сервисами. Представленная несколько месяцев назад компанией Cisco Медиасеть (MediaNet), позволяет получать качественное видео с учётом приоритета трафика, как по проводной, так и по беспроводной сети. При этом появляется возможность получать информацию обо всех узких местах на маршруте прохождения трафика для принятия своевременных мер. В дополнение к Медиасети App Velocity позволяет выбирать не кратчайший маршрут прохождения пакета, а тот, который обеспечивает наибольшую пропускную способность и наименьшее время отклика. Появилась возможность централизованно отключать сервисы, которые не нужны для выполнения задач бизнеса, но потребляют ресурсы и отъедают трафик у критически важных приложений.

App Velocity: гибкость работы сети и приложений.

Унифицированное управление.

Решение Cisco UCS-Express позволяет приближать сервисы к пользователям, что повышает скорость и надёжность доступа, а также снижает затраты на оплату трафика. Платный операторский трафик заменяется бесплатным локальным. Что важно – происходит это без прерывания сервиса. Технология EnergyWise, возможно, не главная составляющая «сетей без границ», однако снижение затрат на энергопотребление наверняка способствует расширению сетей. EnergyWise отключает все телефоны и другую технику в офисах, где отсутствуют сотрудники. Всё оборудование, которое целесообразно не выключать полностью, а перевести в спящий режим – засыпает. При этом применение EnergyWise не требует замены оборудование: всё, что нужно, это установить на устройства Cisco дополнительное лицензионное программное обеспечение.

Что является принципиально новым для 4-го поколения «сетей без границ» – это унифицированное управление всеми сетевыми устройствами (в том числе и клиентскими!) с помощью технологии Cisco Prime. Одного взгляда на слайд достаточно, чтобы понять разницу между «обычным» управлением с разнообразными интерфейсами, особенности каждого из которых обязан знать оператор и унифицированным интерфейсом. Принято грешить на человеческий фактор как элемент ненадёжности системы, но на него в свою очередь влияет эргономика: чем проще и логичней сделано взаимодействие человека и системы, тем меньше вероятности ошибки. Кроме этого надо помнить, что интерфейсы тоже пишутся людьми, и их разнообразие также увеличивает вероятность ошибки функционирования. Одной из компонент Cisco Prime является Cisco Network Control System, пришедшая на замену Wireless Control System, и осуществляющая, как это следует из названия, интеграцию проводных и беспроводных сетей.

CUWN - Cisco Unified Wireless Nenwork.

Здесь следует подробнее остановится на том, что в Cisco понимают под беспроводной сетью. Это не просто проводная сеть с точками доступа, а полностью управляемая радиосреда. Объектами управления являются с одной стороны само электромагнитное поле, обеспечивающее в каждой точке надёжный приём сигнала, с другой стороны – протокольно-шифровальная часть, гарантирующая обеспечение прав доступа и информационную защиту сети. Отсюда следует, что большинство точек доступа являются управляемыми и адаптирующимися к изменениям среды. Серия точек доступа 3500 со встроенным широкополосным спектроанализатором поддерживает технологию CleanAir, позволяющую автоматически обходить помехи и позиционируется для использования в критически важных корпоративных сетях. Однако обеспечение надёжной передачи видеотрафика может быть востребовано и в потребительском сегменте: да, цены корпоративного уровня, но если проводное решение невозможно или ещё более затратно, придётся смириться.

Удалённое управление выглядит так: администратор находится в одном городе (стране – это теперь не важно), точки доступа работают в другом. В случае возникновения проблем, администратор подключается к этим точкам, проводит мониторинг и дополнительную «тонкую» настройку беспроводной сети.

Важное напоминание: в России с недавнего времени разрешено использовать стандарт 802.11n, но с некоторыми исключениями. Вызвано это в первую очередь тем, что, в отличие от большинства стран, в России в принципе отсутствуют безлицензионные участки спектра, в том числе 2.4 ГГц и 5 ГГц, используемые для сетей Wi-Fi. Об это Андрей Харитонов подробно рассказывал на Cisco Expo 2010, очень рекомендую ознакомиться с его докладом.

ТД Cisco Aironet 600 Office Extend.

Интересные решение Cisco предлагает для мобильных сотрудников. Это специальная компактная точка доступа, реализующая возможность подключения сразу к нескольким беспроводным сетям. Например, корпоративной, голосовой и личной. Пользователь может подключиться к любой из них, при этом проводной сегмент сети, передающий корпоративный трафик, будет соединяться с контроллером по защищённому каналу. Голосовой канал предназначен для подключения смартфонов через Wi-Fi непосредственно в офисную телефонную сеть – сотрудник сможет отвечать на звонки, приходящие на его рабочий телефон. При этом ноутбук, подключенный к корпоративной сети и телефон, подключенный к офисной телефонной сети, будут работать одновременно. Что важно: механизм Data DTLS, отвечающий за шифрование трафика, при поставке в Россию по умолчанию отключён. Включить его можно, получив в Cisco лицензионный ключ на продукт. Эта лицензия бесплатная, но выдаётся только по предъявлению разрешения ФСБ на использование шифрования. Здесь может пригодиться NME-RVPN модуль Cisco, производство которого на российском предприятии «Альтоника» было представлено днём раньше.

Как следует из вышесказанного, важнейшая роль в беспроводных сетях принадлежит контроллерам точек доступа. Для 4-й версии «сетей без границ» эти контроллеры тоже обновились, теперь модель 5508 поддерживает до 500 точек, а контроллеры Flex серии 7500 – до 2000 точек.

Бизнес-приоритеты. Постулаты обеспечения безопасности.

Безопасность сети. Защита от угроз.

О безопасности подробно рассказал менеджер по развитию бизнеса Cisco Алексей Лукацкий. Начал он с констатации известной истины о том, что всегда существует баланс между функционалом системы (или бизнес-приоритетами) и обеспечением её безопасности. Это «золотое правило» применимо ко многим, если не всем, аспектам человеческой деятельности, для ИТ оно означает, что лобовое повышение безопасности системы будет наносить ущерб её функционалу, поэтому разработчики вынуждены в каждый момент времени находить оптимум, компромисс между этими параметрами.

Компания Cisco сама является пользователем собственных продуктов, поэтому решение здесь принимались не только на основе лабораторных испытаний, но и собственного опыта эксплуатации. Главное отличие концепции безопасности «сетей без границ» – это переход от «заплаточного» подхода к архитектурному, когда безопасность закладывается на стадии проектирования системы, а не «привинчивается» к готовой. Компромиссы же предусматривают максимальный учёт всех факторов, влияющих на безопасность: это и контент, и использующее его приложение, и способ подключения, и ещё множество различных факторов.

Вся эта совокупность позволяет выявить «странности» в поведении пользователей, программ, устройств и адекватно на них реагировать. Реализует всё принципиально новый продукт ASA 8.4.3, который строит политики применительно не только к IP-адресам, но и на уровне пользователей. Сейчас ИТ-специалист может, к примеру, запретить конкретному пользователю доступ к внешнему почтовому серверу, и уже не важно, под каким IP-адресом скрывается этот пользователь и из какой сети он подключается, с какого устройства. Все его действия контролируются и при необходимости блокируются. Также в рамках архитектуры «сети без границ» 4-й версии анонсируется уникальный аппаратный межсетевой экран, интегрируемый в коммутаторы Cisco Catalyst серии 6500. Его производительность позволяет обрабатывать до 350 000 подключений в секунду и передавать до 16 Гбит/с информации. Также он поддерживает одновременно до 250 сетей VLAN. С учётом того, что в коммутатор можно ставить до 4 таких модулей, эта мощь вряд ли будет востребована в офисе, поэтому область применения аппаратных межсетевых экранов – защита ЦОДов. Суммарные 64 Гбит/с на сегодня удовлетворяют любого российского заказчика. В планах – доведение защищённого трафика до 300 Гбит/с, ведь объёмы передаваемой информации и производительность ЦОДов постоянно растут.

Но самым большим прорывом, на мой взгляд, является Identity Services Engine 1.0 для TrustSec™. Это решение позволяет отказаться от отдельной политики для офиса и общественной сети, отдельной политики для ноутбука и смартфона, как это существует сегодня. Провозглашая концепцию сети, Cisco с самого начала стремилась именно к такому решению, но на пути к нему было очень много технических препятствий, требовалось находить новые способы. Подключаясь по любому каналу к любому устройству (iPhone, смартфон, IP-камера, IP-телефон, TelePresence, ноутбук или десктоп) – мы будем использовать единые политики доступа. Для реализации TrustSec пришлось вносить изменения во все компоненты инфраструктуры: маршрутизаторы, коммутаторы, точки доступа.

Отдельный вопрос: устройства, за которыми не работает пользователь. Современные IP-камеры или сетевые принтеры являются Linux-машинами, как и компьютеры подверженными заражению вирусами. Такой принтер может быть атакован злоумышленниками, и в случае успеха сам стать источником рассылки спама и вредоносных программ. Также из принтера по сети можно украсть отправленную на печать информацию. Identity Services Engine решает и эти проблемы, в отличие от предыдущих продуктов это решение контролирует абсолютно все сетевые устройства, независимо от наличия на них пользователя.

Ещё одно новшество: перенаправление запросов из филиалов сразу в облако. Это стало возможным после обновления ПО маршрутизаторов ISR G2, и теперь все запросы автоматически направляются в «облако» ScanSafe. При этом нет необходимости в установке дополнительного оборудования, что сокращает стоимость владения.

Упомянул Алексей Лукацкий и о начале производства на территории России VPN-модуля совместной разработки компаний Cisco и С-Терра. Также решение компании С-Терра, сертифицированное ФСБ, работает на серверах Cisco UCS C-200 и составляет вместе с VPN-модулем единый комплекс. Особо надо отметить, что ФСБ сертифицировала не криптобиблиотеку, а изделие Cisco UCS C-200 целиком.

----

Информационная гигиена в эпоху интернета

Информационная гигиена в эпоху интернета. Статья Владислава Боярова. 12.08.2024 г.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая. Статья Владислава Боярова. 12.03.2024 г.

«КАТЮША» в «Пастернаке»: «КАТЮША»

«КАТЮША» в «Пастернаке»: «КАТЮША». Статья Владислава Боярова. 08.04.2024 г.

Pantum в Самаре: business as usual

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность.

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность. Статья Ильи Вайцмана. 11.12.2023 г.