Bezpečnost komunikací je v posledních letech klíčovou oblastí v oboru IT. S rozvojem nových informačních technologií narůstá rychlost výměny informací mezi uživateli počítačových sítí. Tento fakt s sebou přináší i nepříjemný průvodní jev a tím je nárůst rychlosti šíření virových nákaz. Vyšší komplexnost budovaných sítí pak ztěžuje definování hranic, na kterých se zejména pomocí firewallů řešila problematika zabezpečení sítí. Pro eliminaci těchto rizik spustila firma Cisco před časem projekt s názvem „Bordeless Network” ve kterém s pomocí dalších partnerů definuje komplexní zajištění bezpečnosti na všech síťových prvcích, od firewallů a VPN přes bezpečnost na úrovni směrovačů a přepínačů až po koncové stanice a servery.

Společnost Networksys a.s. se stejně tak jako v ostatních oblastech zaměřuje na produktové portfolio firmy Cisco Systems. Pro zajištění bezpečnosti počítačových sítí je k dispozici široká škála produktů a služeb. Stejně tak široká je i nabídka služeb naší firmy, sahající od konzultačních služeb po návrh a realizaci projektů s vysokým ohledem na bezpečnost všech řešení.

Pro základní rozdělení bezpečnostní problematiky můžeme definovat tyto oblasti:

  • Obrana proti útokům
  • Bezpečný přenos dat
  • Ověřování identity uživatelů a zařízení
  • Správa a dohled zabezpečení sítě

Obrana proti útokům

Na obraně sítě i koncových zařízení spolupracují aplikační stavové firewally, Intrusion Protection systémy, software pro ochranu koncových stanic a serverů, systémy chránící před rozprostřenými útoky proti službám (DDoS), bezpečnostní služby obsažené v síťové infrastruktuře - zejména ve směrovačích a přepínačích. Podstatnou roli v aktivní obraně hraje i systém pro monitorování bezpečnosti sítě.

Firewall

Firewall je zařízení zajišťující ochranu sítě na jejím perimetru. Představuje většinou první obrannou linii podnikových či jiných privátních sítí při připojení k Internetu nebo obecně k sítím třetích stran. Často jsou používány i pro ochranu interních oblastí jako například pro ochranu datových center apod. Kromě kontroly procházejícího datového provozu podle předem definovaných pravidel zajišťují často další služby jako například překlad adres – NAT.

V současné době pokrývá tuto oblast série produktů Cisco ASA 5500 (Adaptive Security Appliance).

 


Cisco ASA je výkonná, modulární bezpečnostní platforma s širokým rozsahem funkcí. Poskytuje funkce aplikačního stavového firewall, zabezpečené VPN přenosy, detekci a prevenci narušení sítě (Intrusion Prevention Systém) a takzvanou Anti-X ochranu.

Intrusion Protection System

Síťové IPS systémy Cisco monitorují bezpečnost sítí a chrání je proti útokům. Poskytují obranu proti útokům vedeným proti koncovým zařízením, síťové infrastruktuře a službám sítě (DoS). Účinně chrání proti síťovým virům a červům, výzvědným programům a dalším hrozbám. Jsou zaměřeny na ochranu běžných a často zneužívaných aplikací (web, mail, instant messaging, P2P,... ). Zvláštní pozornost věnují také zabezpečení hlasu přenášeného přes IP protokol. Součástí jsou i antivirové signatury, vyvíjené firmou Trend Micro. Tyto signatury mohou být aktualizovány do několika minut po jejich zveřejnění.

 

Tyto IPS systémy jsou nabízeny jako specializovaná zařízení – řada Cisco IPS 4200, nebo je jejich funkcionalita integrovaná do síťových prvků jako jsou směrovače a přepínače – např. Cisco ISR routery řady 1800, 2800 a 3800. Další možností je využití IPS systémů ve firewallech Cisco PIX nebo Cisco ASA.

Bezpečný přenos dat


Zajištění bezpečnosti přenášených dat je základním stavebním kamenem veškerých datových přenosů. Řešení s využitím bohaté funkcionality Cisco produktů nabízí širokou paletu možností. Tak jak se liší požadavky jednotlivých zákazníků, tak lze v řešeních nabízených naši firmou implementovat a kombinovat různé bezpečnostní prvky. Data lze při přenosu chránit buď jejich fyzickým či logickým oddělením od dat jiných uživatelů – sítě Frame-Relay či MPLS, nebo lze při přenosu přenášená data šifrovat – technologie virtuálních privátních sítí – VPN. Další oblastí je problematika zabezpečení přenosu dat v bezdrátových sítích.

VPN

Propojování několika poboček společnosti (nebo obecně jakýchkoliv lokalit) do společné datové sítě je běžným požadavkem při budování informačního systému. Pojem VPN používáme v situaci, kdy takové spojení realizujeme po sdílené infrastruktuře, kde hrozí odposlechnutí nebo záměna přenášených dat. V obecném povědomí je internet vnímán jako typický představitel takovéhoto prostředí. Uvědomme si ale, že i v případě využití technologií, jako je pronajatý datový okruh, frame relay nebo MPLS, jsou naše data přenášena sdílenou infrastrukturou poskytovatele služby s výše popsanými riziky.

Pro vlastní zabezpečení přenášených dat je často využíván protokol IPSEC. Nejinak je tomu i v Cisco řešeních. Pomocí protokolu IPsec lze vytvářet bezpečná spojení mezi jednotlivými lokalitami. Problematickou byla donedávna správa rozsáhlejších VPN sítí. S Cisco novou technologií DMVPN je však tento problém z velké míry eliminován.

Koncept Dynamic Multipoint VPN (DMVPN) umožňuje velmi dobrou rozšiřitelnost VPN při současném zjednodušení konfigurace a implementace. Jde vlastně o kombinaci tří technologií:

  • GRE tunelů
  • IPSec
  • Next Hop Resolution Protocol (NHRP)

Základem je topologie hub-and-spoke s jedním centrálním zařízením, ke kterému jsou pomocí VPN připojena vzdálená zařízení. DMVPN umožňuje vytváření dynamických VPN spojení, a to dvojího druhu: permanentní - propojuje vzdálené směrovače s centrálním dočasné - propojují vzdálené směrovače navzájem.
Dočasné VPN tunely mezi vzdálenými prvky jsou navazovány pouze tehdy, pokud spolu potřebují komunikovat, centrální prvek zde plní roli NHRP serveru. Po ukončení komunikace jsou tunely zrušeny. DMVPN umožňuje rovněž navazovat VPN tunely mezi směrovači, kterým jsou adresy portů přidělovány dynamicky, což při použití „klasického” site-to-site VPN není možné.

VPN funkcionalita je na produktech Cisco poskytována na směrovačích od nejmenších modelů Cisco řada 800, přes ISR směrovače řady 1800, 2800 a 3800 až po nejvýkonnější řešení s využitím modelů Cisco Catalyst 6500.

Remote Access VPN

O Remote Access VPN hovoříme v souvislosti s bezpečným přístupem vzdálených uživatelů nebo menších poboček do centrální sítě prostřednictvím internetu. Pro zabezpečení přístupu do sítě je možné využít IPSec nebo SSL VPN.

Metoda IPSec je univerzálnější, chrání téměř libovolný typ provozu, umožňuje připojit i vzdálené sítě, vyžaduje ovšem instalaci klienta na stanici (Cisco nabízí klienta zdarma).
SSL VPN je možné použít jen pro připojení jednotlivých uživatelů a pro podporované aplikace. Umožňuje však větší variabilitu připojení uživatele – který může použít jak dedikovaného klienta (Cisco Anyconnect Client) nebo je možné navázat zabezpečené spojení pouze prostředky webového browseru s podporou SSL protokolu (bezklientské připojení).

V současné době je nejširší funkcionalita k dispozici na multifunkčních zařízeních Cisco ASA 5500.

Ověřování identity uživatelů a zařízení

Komplexní systémy zabezpečení dat v současné době nepostihují pouze bezpečnostní mechanismy na hranicích sítě (firewall), ale integrují bezpečnostní prvky do všech úrovní síťové infrastruktury. Důležitým prvkem je zajištění jednoznačné identity všech uživatelů a stanic komunikujících v zabezpečeném síťovém prostředí.

Cisco Secure ACS Server

Jedním ze základních stavebních kamenů ve všech řešeních je silný prostředek pro autentizaci, autorizace a logování všech síťových komponent. Tyto potřeby pokrývá produkt Cisco Secure Access Control Server – ACS.
Komplexní popis produktu a další informace najdete zde.

Cisco Identity Services Engine (ISE)

Společnost Cisco Systems vyvinula v minulosti dva oddělené systémy Cisco Access Control Server – v roli univerzálního autentikačního enginu a Cisco Network Admission Control – produkt zaměřený na zjištění a prověření stavu koncových stanic, které se přihlašují do sítě. Cisco ISE integruje funkcionalitu obou serverů do jednoho produktu s jednotnou správou.
Vysokým rizikem pro síť jsou nezabezpečené stanice. Mohou to být například stanice, které nemají aktivovanou a aktualizovanou antivirovou ochranu nebo nemají nainstalovány nezbytné opravy a aktualizace operačního systému.
Cisco ISE dokáže ověřit, zda stanice, které se připojují do sítě, vyhovují bezpečnostním pravidlům stanoveným ve firmě. Stanice, které definovaným pravidlům vyhovují, mohou dostat neomezený přístup do sítě. Přístup stanic, které definovaným pravidlům nevyhovují, bude omezen síťovým zařízením do té doby, než budou odstraněny nedostatky. Po odstranění nedostatků získá stanice opět plný přístup do sítě.
Tyto funkce pomáhají správcům sítě udržovat stanice v aktualizovaném stavu. Nejčastěji jde o aktualizace anitivirové ochrany a bezpečnostních oprav operačního systému, možnosti ISE jsou však výrazně širší.
Bližší popis celé technologie najdete zde.

Správa a dohled zabezpečení sítě

Pro management síťových prvků lze dnes využívat jak bezpečný přístup ke konzolám zařízení (CLI) pomocí např. protokolu SSH, tak i možnost bezpečného přístupu k webovému management rozhraní síťového zařízení – komunikace zabezpečena pomocí protokolu HTTPS. Tyto prostředky postačují pro správu malých sítí.
Zejména v rozsáhlejších sítích je třeba zajistit přehledným způsobem správu a monitoring všech prvků síťové infrastruktury. Pro tyto potřeby nabízí fy Cisco řadu nástrojů – nejčastěji se využívá Cisco Works VPN Management Solution.

Výběr informací z newsletterů:

Cisco Smart Portal

Se zavedením servisního modelu Partner Support Service rozšiřuje společnost Cisco své služby a přináší pro své zákazníky chytré nástroje pro správu, analýzu a rozvoj sítí - tzv. Smart Services.

Představení přepínače řady Nexus 6000

Přepínač řady Nexus 6000 je nová fixní platforma nabízející vysokou hustotu L2 či L3 40G interface s podporou Ethernetu a FCoE (Fiber Channel over Ethernet).

Směrovač Cisco ASR 9001 již lze objednat

Dlouho očekávaný agregační směrovač ASR 9001 je možné objednat. Nabízí propustnost 120 Gbit/s full-duplex ve 2RU chassis.

Cisco Unified Access

Společnost Cisco představila svoji vizi konvergované sítě s cílem sjednotit drátovou, bezdrátovou a VPN komunikaci do jednotné platformy.

Přihlašte se
k odběru newsletterů:

zde prosím vyplňte kolonky

Kontrolní otázka:
zadejte prosím slovy, kolik je
pět plus pět

Partnerství a certifikace:

Cisco VMware NetApp Veeam Dell Flowmon

"NAŠE ŘEŠENÍ PRO VAŠI KOMUNIKACI"