W urządzeniach
Extreme Networks można stosować statyczne skrypty składające się z szeregu
komend wiersza poleceń, zawierających także zmienne czy instrukcje warunkowe i pętle.
Tym samym znacznie maleje liczba powtarzalnych czynności wykonywanych przez
administratora. Skrypty takie można uruchamiać ad hoc, jak również
– bazując na mechanizmie Universal Port – wywoływać np.
w określonym czasie. Przy czym jest to możliwe cyklicznie lub jednorazowo,
a więc w określony dzień i o zadanej godzinie po
zdefiniowanym odliczaniu. Kolejny sposób to podłączenie lub odłączenie
urządzenia na podstawie protokołów LLDP i LLDP-MED bądź uwierzytelnienie
albo odłączenie użytkownika (mechanizmy IEEE 802.1X, MAC i PWA). Wywołanie
potrzebnych skryptów jest też możliwe przy pomocy innych dowolnych zdarzeń
systemowych.

W opisany sposób można
zautomatyzować proces zarządzania siecią oraz wyposażyć przełącznik
w mechanizmy samodzielnego reagowania na rozmaite zdarzenia. Należy do
nich uwierzytelnienie się administratora na porcie, podłączenie się do
interfejsu linii komend (CLI), jak również sposób reagowania na błąd związany
z dowolnym protokołem czy mechanizmem. Dla przykładu za pomocą funkcji Universal
Port można wyposażyć przełącznik w zaawansowany mechanizm autokonfiguracji
VLAN i QoS w reakcji na podłączenie telefonu VoIP. Ponieważ skrypty
składają się zasadniczo z komend CLI (poza zmiennymi, instrukcjami
warunkowymi i pętlami), możliwości wykonywania zaawansowanych czynności
administracyjnych lub reakcji na zdarzenia są bardzo szerokie. Istnieje też
możliwość logowania się na innych urządzeniach w ramach skryptu przez
telnet i SSH. To dodatkowo upraszcza codzienną pracę administratorów
i usprawnia funkcjonowanie infrastruktury teleinformatycznej.

Automatyzacji
w przełącznikach Extreme Networks sprzyja też mechanizm Zero Touch
Provisioning. Umożliwia on, po odpowiednim przygotowaniu infrastruktury,
wdrażanie ich w modelu plug and play. Przełącznik otrzymuje adres IP typu
link-local do zarządzania na porcie Ethernet OOB, który bazuje na ostatnim
oktecie adresu MAC (odpada konieczność łączenia się po raz pierwszy przez kabel
konsolowy). Wykorzystanie opcji 43 serwera DHCP pozwala przekazać do przełącznika
informacje służące do połączenia z serwerem, aby pobrana została
aktualizacja obrazu oprogramowania, konfiguracja, listy kontroli dostępu
i skrypty.

 
Profesjonalna ochrona danych

Bezpieczeństwo w sieci można zapewnić, stosując wiele
mechanizmów. Najbardziej powszechne to zapory ogniowe (coraz częściej NGFW lub
UTM) i uwierzytelnianie 802.1X w warstwie dostępowej sieci. Metody te są
nieodzowne, gdy bezpieczeństwo stanowi dla firmy ważny element, nieraz de facto
decydujący o jej istnieniu. Bardziej zaawansowane mechanizmy, takie jak
SIEM, IPS czy NAC, umożliwiają obejście klasycznych środków bezpieczeństwa. Ze
względu na to, że firewall chroni tylko styk sieci z zewnętrznym
segmentem, nierzadko mamy do czynienia z brakiem wglądu w sieć lokalną.
Nie mówiąc o problematycznym zarządzaniu certyfikatami 802.1X, gdyż ich
ręczna instalacja w grupie drukarek czy innych urządzeń peryferyjnych jest
niezmiernie nużąca, a sieć bazująca na tym typie uwierzytelniania nie
przystaje do trendów BYOD, jak również nie daje dostępu „gościnnym” laptopom,
smartfonom i tabletom. Wprawdzie samo uwierzytelnianie 802.1X zapewnia
minimalizację ryzyka ataków Man In The Middle, ale nie gwarantuje żadnego
wglądu w to, kto korzysta z sieci i w jaki sposób.




Trzy pytania do…

Tomasza Sroczyńskiego, konsultanta ds. bezpieczeństwa
sieci, Versim

CRN Architektura sieci
komputerowych już od pewnego czasu staje się coraz bardziej skomplikowana. Co
obecnie stanowi największe wyzwanie dla administratorów?

Tomasz Sroczyński Od przewodowych i bezprzewodowych sieci
oczekuje się, że w bezpieczny sposób będą łączyły ze sobą wszystkie
elektroniczne zasoby firmy: komputery, drukarki, telefony IP, kamery,
infrastrukturę centrów danych itd. Ze względu na coraz większy stopień
ucyfrowienia firm oraz rosnące zainteresowanie danymi ze strony przestępców,
konieczne jest stosowanie zaawansowanych mechanizmów ochronnych. Infrastrukturę
powinien chronić już nie tylko firewall, niekiedy trzeba posiłkować się
rozwiązaniami typu IPS, NAC czy SIEM, jak również analizą warstwy aplikacji
w sieci lokalnej. Bardzo ważne jest także to, aby zapewnić administratorom
narzędzia optymalizujące zarządzanie siecią oraz obniżające koszty tego
procesu.

 

CRN Co może pomóc
adminitratorom w realizacji tego zadania?

Tomasz Sroczyński Systemy zarządzania siecią NMS zapewniają nie tylko monitorowanie statusu
węzłów sieciowych oraz dostarczają podstawowych statystyk dzięki wykorzystaniu
protokołów ICMP i SNMP, ale stanowią też spójne narzędzie udostępniające
wiele funkcji, takich jak: inwentaryzacja, monitorowanie stanu sieci wraz
z wizualizacją topologii fizycznej i logicznej, zarządzanie wersjami
konfiguracji i firmware’u przełączników, generowanie rozbudowanych
raportów i alarmów z możliwością podjęcia automatycznych akcji czy
też powiadamiania administratora o ważnych zdarzeniach.

 

CRN Jak w tej
dziedzinie wyróżniają się przełączniki firmy Extreme Networks?

Tomasz Sroczyński Zapewniają
wszystkie wymienione funkcje, ale przede wszystkim gwarantują zautomatyzowanie
prac administratorskich, dzięki czemu pracownicy działów IT mogą wykorzystać
oszczędzony czas np. na zapewnienie większego bezpieczeństwa firmowej infrastruktury.
Są też bardzo proste w obsłudze – każdy model przełącznika oferuje
identyczny, intuicyjny wiersz poleceń. W efekcie z powodzeniem
znajdują one zastosowanie zarówno w małych przedsiębiorstwach, jak
i sieciach operatorskich.

 

Odpowiedź na te bolączki
stanowią systemy kontroli dostępu do sieci (Network Access Control). Brama NAC,
pośrednicząc w procesie uwierzytelniania (przewodowego
i bezprzewodowego, 802.1X, MAC, PWA), profiluje urządzenie próbujące
uzyskać dostęp do sieci według takich kryteriów, jak czas, miejsce, typ
urządzenia, rodzaj użytkownika, przypisując system końcowy do stosownej roli
pełnionej w organizacji. Do roli tej przyporządkowany jest spis usług,
które mają być dostępne bądź zablokowane.

Dzięki takiemu modelowi
polityki bezpieczeństwa administrator może statycznie bądź dynamicznie (niejako
śledząc przemieszczanie się użytkownika w sieci)określić kto, w jakim
czasie, z jakiego urządzenia i miejsca ma dostęp do jakich zasobów
i protokołów. Możliwe jest wskazywanie różnych VLAN-ów lub priorytetów dla
poszczególnych aplikacji przypisanych do pojedynczej roli organizacyjnej.
Urządzenie końcowe, które w procesie oceniania (może odbywać się
cyklicznie) zostanie sklasyfikowane jako niezgodne z regułami, będzie
automatycznie „przeniesione” do kwarantanny, aby w ten sposób ochronić
zasoby przedsiębiorstwa i innych użytkowników przed potencjalnym
zagrożeniem.

 

Pełna kontrola nad siecią

Możliwość egzekwowania reguł polityki bezpieczeństwa na
portach i w punktach dostępowych sieci WLAN daje pełną kontrolę nad
warstwą brzegową infrastruktury. Stanowi zatem znaczącą wartość dodaną
przełączników Extreme Networks drugiej generacji (X450-G2, X460-G2, X670-G2,
X770), które stopniowo zastępują dotychczasowe modele z serii Summit,
Black-Diamond i urządzenia firmy Enterasys.

Przełączniki Extreme
Networks zapewniają jednoczesne uwierzytelnianie wielu użytkowników dowolną
metodą na jednym porcie. Przy czym ich liczba jest ograniczona do 1024
w odniesieniu do całego systemu, a nie pojedynczego portu. Daje to
większe możliwości zastosowania niż w przypadku przełączników
udostępniających jedynie dwa VLAN-y (dla telefonu VoIP i dla komputera
PC), na przykład w celu uwierzytelniania zdalnej lokalizacji za tunelem
VPN bądź agregacji niezarządzalnych przełączników dostępowych.

W kontekście
bezpieczeństwa sieci warto wspomnieć też o mechanizmie CLEAR-Flow, który
rozbudowuje tradycyjne listy kontroli dostępu o funkcję monitorowania
i wykrywania anomalii w ruchu na przełączniku, zapewniając
jednocześnie możliwość automatycznej reakcji na nie lub wykonanie kopii danych
z podejrzanej transmisji w celu dalszej analizy.

Więcej informacji o produktach Extreme Networks:



Agnieszka Makowska,

dyrektor sprzedaży Versim,

agnieszka.makowska@versim.pl