Information Assurance 4/2007
vychází 15. 6. 2007
Bezplatný měsíčník vydávaný CNSE spol. s r. o. ve spolupráci s pořadateli a partnery konference Security and Protection of Information (www.unob.cz/spi)
Chceme vyvážet bezpečnostní know-how Rozhovor s generálním ředitelem ICZ a. s. Bohuslavem Cempírkem
Obsah Rozhovor s generálním ředitelem ICZ a. s. Bohuslavem Cempírkem _ _ _ _ _ _ 1–2 Úvodem – Společnost čísla _ _ _ _ _ _ 2
Společnost ICZ, systémový integrátor nabízející softwarová a síťová řešení, představila v minulých dnech své hospodářské výsledky za loňský rok a také záměry týkající se plánované expanze na zahraniční trhy. Jedním z vývozních artiklů má být i know-how v oblasti bezpečnosti. Bližší informace poskytl Bohuslav Cempírek, generální ředitel ICZ.
Autentizace uživatelů s využitím PKI _ 3 Rozprostřené útoky proti službám _ _ 4 Nová generace Windows serveru _ _ 5 Traffic management IV _ _ _ _ _ _ _ _ _ 6 Jak chápat síťový management _ _ _ 7
Můžete čtenářům Information Assurance přiblížit své záměry? V následujících letech se chystáme rozšířit své aktivity a to na zahraniční trhy, konkrétně do zemí východní Evropy, případně na další trhy v rámci států Evropské unie. Ale nejen
to, zvažujeme i vstup na trhy Asie nebo Ameriky. Cílem naší expanze bude zejména vývoz know-how v oblasti bezpečnosti, správy dokumentů a architektur sítí. Co je nosným motivem této expanse? Jsou to především informační záruky. Na ně klademe důraz ve všech projektech, na nichž se podílíme. Záruky samozřejmě obsahují i hledisko bezpečnosti. Co konkrétního můžete nabídnout v oblasti bezpečnosti? Zaměřím-li se na konkrétní nabídku, tak ta zahrnuje řešení, služby a produkty v pěti
2
Information Assurance 4/2007
Úvodem Společnost čísla
Chceme vyvážet…
Toto číslo Information Assurance se zevrubněji zabývá společností ICZ. Ta byla jedním z generálních partnerů všech dosavadních ročníků konference Security and Protection of Information (SPI), jejíž je toto periodikum doprovodnou aktivitou. Co společnost ICZ řeší v oblasti bezpečnosti, je uvedeno na stranách 25–28 Informace o partnerech, zájemci o zbylé výtisky materiálu si o ně mohou napsat na
[email protected].
(Dokončení z první strany.)
V interview tohoto čísla se generální ředitel společnosti ICZ Ing. Bohuslav Cempírek chlubí projektem výstavby Důvěryhodné výpočetní základny resortu Ministerstva spravedlnosti České republiky. Bezpečná platforma informačních systémů elektronické justice je postupně implementována na 200 soudech a státních zastupitelstvích, neboli nejde o žádný „kapesní“ projekt. Pokud se o něm chcete dozvědět něco podrobnějšího, napište si o některý ze zbylých sborníků konference SPI 2007, a to opět na adresu
[email protected]. Případovou studii na dané téma naleznete na stranách 159–161. V minulém čísle Information Assurance jsme se rozhodli zpestřit časopis kvízem. Odměnou pro vylosovaného čtenáře správné odpovědi na kvízovou otázku tohoto čísla bude kniha Björna Waltera a Vladislava Janečka „Telefonujeme přes Internet“ vydaná letos nakladatelstvím Computer Press. Věnovala ji společnost Český bezdrát s. r. o., která je uživatelem špičkového zařízení pro měření síťového provozu zakoupeného od jednoho z partnerů konference SPI 2007. Kvízová otázka čísla zní: O jaké zařízení se jedná? Odpovědi můžete zasílat na známou adresu
[email protected], a to do konce července. Jména výherců se dozvíte na webové stránce http://www.unob.cz/spi/zpravodaj.asp. Další číslo Information Assurance (číslo 5) vyjde 15. srpna a do té doby – příjemnou dovolenou. SVĚTLANA PROKSOVÁ
Information Assurance Bezplatný zpravodaj vydávaný na podporu konference Security and Protection of Information www.unob.cz/spi, e-mail:
[email protected]
Vydavatel: CNSE spol. s r. o. Zodpovědná redaktorka: Světlana Proksová Redakční rada: Martina Černá, Jaroslav Dočkal, Ivo Němeček, Petr Lasek, Jiří Unzeitig, Milan Jirsa, Josef Kaderka Grafická úprava: Omega Design, s. r. o. Registrace MK ČR E 17346 ISSN 1802-4998
hlavních oblastech. První oblastí jsou rozsáhlé projekty bezpečnostní integrace. Další aktivitou jsou konzultační služby v oblasti řízení informační bezpečnosti. Poskytujeme rovněž řešení správy identity a řízení přístupu, zahrnující zesílenou identifikaci a autentizaci, systémy správy hesel, šifrování a oblast infrastruktury veřejného klíče. Velmi významné jsou projekty informačních systémů pro zpracování utajovaných informací, kde naší velkou konkurenční výhodou je možnost uplatnění bezpečnostních produktů z vlastní vývojové laboratoře. A nechybí ani řešení zabezpečení sítí včetně služeb identifikace zranitelností a hrozeb ve stávající infrastruktuře. Při vstupu na nové trhy pro vás budou nesmírně důležité reference. Na jakých zajímavých projektech týkajících se bezpečnosti pracujete? Zajímavý je projekt informačního systému pro výměnu utajovaných informací mezi ministerstvem zahraničních věcí a zastupitelskými úřady po celém světě. Patří sem i vývojový projekt nových kryptografických prostředků, jejichž klony v budoucnu vytvoří základ naší nové řady bezpečnostních produktů určených pro trh utajovaných informací Evropské unie i NATO. A především pracujeme na jedinečném projektu výstavby Důvěryhodné výpočetní základny resortu ministerstva spravedlnosti – bezpečné platformy informačních systémů elektronické justice, kterou postupně implementujeme na 200 soudech a státních zastupitelstvích všech úrovní. O Důvěryhodné výpočetní základně jsme psali v minulém čísle Information Assurance. Proč by mělo být právě toto řešení jedinečné? Jeho význam tkví především v jeho rozsahu a komplexnosti. Týká se celého resortu, tedy stovek složek rozmístěných po celé republice a tisíců zaměstnanců. Jak vyplývá z názvu, zaručuje spolehlivé základy bezpečné infrastruktury určené nejen pro současné požadavky, ale i pro budoucí rozvoj elektronické justice. Důkazem výjimečnosti řešení je letos získané ocenění Microsoft Industry Awards 2007 v kategorii nejlepší implementace bezpečnostního řešení na platformě Microsoft. Zákazníci musí často při řešení bezpečnosti informací dodavatele pustit hluboko do své IT infrastruktury a ke svým citlivým údajům. Neobávají se možného ohrožení dat? Jsme firma s desetiletou tradicí, na trhu máme určité jméno. Je v našem vlastním zájmu poskytnout zákazníkovi nejlepší možné zabezpečení dat, protože v případě chyby riskujeme svou pověst. Navíc disponujeme prověrkou
Národního bezpečnostního úřadu pro stupeň „Důvěrné“ a naše dceřiná společnost S.ICZ dokonce „Přísně tajné“. Máme certifikaci systému řízení kvality a také certifikaci systému řízení bezpečnosti informací. To vše je pro naše stávající i potenciální zákazníky signálem,
Ing. Bohuslav Cempírek Absolvent bývalé Vysoké školy strojní a elektrotechnické v Plzni, pracoval jako ředitel marketingu a nepřímého prodeje Digital Equipment, ředitel samostatné divize Alcatel Czech, jako generální ředitel Alcatel e-Business Distribution a následně NextiraOne Czech. Od března 2006 je generálním ředitelem ICZ a. s.
že společnost ICZ disponuje potřebnými zdroji k zajištění maximální ochrany a bezpečnosti svěřených informací. Říká se, že pod svícnem je největší tma. Smím se tedy zeptat, jak to vypadá s bezpečností ve vaší společnosti? Ale klidně. S jistou nadsázkou si dovoluji říct, že to někdy v naší společnosti s bezpečností až přeháníme... Teď vážně. Mám-li to srovnat se svými minulými zaměstnáními, tak péče o bezpečnost informací nikde nedosahovala takové úrovně jako zde. V ICZ je chápána jako jedna z hlavních priorit vedení společnosti. Tento rok jsme úspěšně prošli auditem systému řízení bezpečnosti informací podle normy ISO 27001 a získaný certifikát je toho důkazem. Kdo má na těchto úspěších největší zásluhu? Jsou to naši odborníci z divize bezpečnosti informací, ti mají hlavní podíl na realizaci našeho projektu vedoucího k zavedení ISMS. Důležitá však byla také spolupráce útvaru interního IT se všemi ostatními odděleními společnosti. Zde jsme si ověřili, že jsme podobné projekty schopni úspěšně realizovat. Proto budou naše konzultační služby s vysokou přidanou hodnotou i v budoucnu hrát jednu z hlavních rolí v rozvoji aktivit společnosti. OTÁZKY KLADLA MARTINA ČERNÁ
4/2007 Information Assurance
Autentizace uživatelů s využitím PKI V současné době jsou organizace pod stálým tlakem změn vnějšího i vnitřního prostředí. To klade zvýšené požadavky nejen na zajištění efektivnosti podnikových procesů, ale i na zajištění bezpečnosti informačních zdrojů organizace. Jedním z nástrojů umožňujícím plnění těchto požadavků je systém správy identit a řízení přístupu.
Role, oprávnění
Registrace ID Skupina, role, přístupová oprávnění
Infrastruktura systému řízení identit a řízení přístupu také poskytuje nástroje na automatické přenášení proxy certifikátů mezi různými informačními zdroji v síti, které uživatel nebo jeho úloha pravě používá. Tím se usnadňuje používání různých informačních zdrojů organizace a zvyšuje to i bezpečnost uživatelova certifikátu, protože se téměř po celou dobu pracuje pouze s krátkodobým proxy certifikátem. Tato technika se obecně
Autorizace
Každý uživatel má certifikát, jehož odpovídající soukromý klíč má v heslem zašifrované podobě uložen na disku. Aby uživatel nemusel zadávat toto heslo při každém přístupu k požadovaným informačním zdrojům, nabízí infrastruktura systému správy identit a řízení přístupu rozšíření klasické podoby PKI formou tzv. proxy certifikátů. Proxy certifikát je nově vygenerovaný certifikát, který není podepsaný žádnou CA, ale uživatelovým vlastním soukromým klíčem. Tento certifikát má platnost několik málo hodin, jeho soukromý klíč je uložen na disku nešifrovaně v souboru a je čitelný pouze majitelem certifikátu. Krátká doba platnosti proxy certifikátu snižuje riziko plynoucí z případného ukradení takového nešifrovaného certifikátu.
Certifikát koncového uživatele
ce tiza ten Au
Autentizace je proces ověření identity uživatele nebo služby. Nejčastěji používanou metodou autentizace v dnešních počítačových systémech je kombinace uživatelského jména a hesla, které se ověřuje proti nějaké databázi. Silnější metody autentizace mohou být založeny např. na PKI (viz obrázek 1), kdy každý uživatel a služba vlastní certifikát veřejného klíče podepsaný některou důvěryhodnou certifikační autoritou (CA). Je třeba zdůraznit, že certifikát je důležitý, ale není to nástroj, kterým se uživatel autentizuje. Je to nástroj, který se dává protistraně, aby mohla dokončit autentizaci.
Adresářové služby
PKI
Klíčovou součástí systému správy identit a řízení přístupu je identifikace a autentizace uživatele. Pokud do tohoto systému integrujeme PKI (Public Key Infrastructure), získáme efektivní nástroj pro „silnější“ autentizaci uživatelů.
Autentizace certifikátem
Informace o koncových uživatelích
Informace o aplikacích
Koncový uživatel Použití certifikátu
Klientská pracovní stanice
WAN
Požadavek
Předání oprávněných požadavků
Řízená výměna dat
Výměna dat
Přístupový portál
Aplikace
Obrázek 1: Příklad použití PKI pro správu uživatelů a řízení jejich přístupu k aplikacím
označuje jako princip single sign-on. Jelikož se v rámci proxy certifikátu používá atributový certifikát (viz další odstavec), většinou se používá označení atributový certifikát i pro proxy certifikát.
procesu. Zpravidla je zakódován v uživatelově proxy certifikátu. Takové prostředí umožňuje flexibilní správu – uživateli mohou být přiřazena právě taková přístupová oprávnění, jež potřebuje pro svou práci.
Autorizace
Výhody
Pro autorizaci se používají zpravidla tzv. atributové certifikáty. Jejich struktura je podobná struktuře certifikátů veřejného klíče. Neobsahují však veřejný klíč, ale pouze sadu atributů spojených s držitelem, jako je např. příslušnost do skupiny, role, oprávnění a další údaje, na základě kterých jsou uživateli přidělena přístupová práva k informačním zdrojům organizace. Atributové certifikáty jsou platné pouze po omezený časový interval. Uživatel s administrátorskými právy tak může pracovat se svou běžnou identitou a oprávněním a pouze pro úkony související se správou použije administrátorský certifikát. Snižuje se tak riziko zneužití nebo chyby, kterou může udělat.
Použití PKI v systémech správy identit a řízení přístupu je výbornou možností jak prokázat identitu v rámci rozsáhlých systémů a to tam, kde je požadována silná autentizace. Výhodou je fakt, že při autentizaci není nutné, aby byl uživatel zaveden v adresáři. Mezi další výhody patří existence podpory pro použití PKI v operačních systémech a ve webových aplikacích nebo to, že pro úschovu klíčů lze využít čipové karty.
Atributový certifikát je podepsán službou, která jej vydala a koncový server nemusí kontaktovat žádnou třetí službu, jen ověří podpis na atributovém certifikátu a zkontroluje příslušné atributy. Klient posílá svůj atributový certifikát jako součást autentizačního
Závěr Řešení systému správy identit a řízení přístupu s integrací autentizačních prostředků PKI navrhují odborníci ICZ přesně podle situace a potřeb informačního systému konkrétní organizace. Využívají světových standardů a nejnovějších technologií jako např. Microsoft Active Directory, SunONE Directory Server, CAI eTrust nebo Novell eDirectory s DirXML. LADISLAV BERÁNEK
3
4
Information Assurance 4/2007
Rozprostřené útoky proti službám Internet obsahující milióny špatně chráněných stanic je ideálním prostředím pro distribuované (neboli rozprostřené) útoky proti službám (Distributed Denial of Service, DDoS). Smyslem těchto útoků je vyčerpat zdroje oběti. Takovýmto zdrojem může být například přenosové pásmo sítě, výkon procesoru, paměť serveru, kapacita datových struktur operačního systému, aplikací či aktivních prvků sítě. Důsledkem útoků je obvykle výrazné omezení nebo úplná nedostupnost služeb sítě. V praxi to například znamená, že nejsou nedostupné veřejné webové stránky, aplikace se zpomalí nebo zastaví, síť je neprůchodná, operační systém klíčového serveru se „zakousne“ nebo restartuje. Jaká je motivace útočníků? Velmi pestrá – může jít o špatný vtip, experiment, mstu zahořklého zaměstnance, konkurenční boj mezi firmami. A v poslední době jde často o zisk, kdy jsou oběti vydírány útokem DDoS. Zaplatíš, zastavíme útok. Nezaplatíš, budeme pokračovat, dokud nezkrachuješ. Útok proti službám není veden z jediné stanice, to by nebyl dostatečně účinný. Útočník se k tomu účelu snaží skrytě ovládnout celou soustavu počítačů, ty se pak označují jako zombies a jejich soustava jako armáda zombies [1], viz obrázek 1. Někdy také hovoříme o botech a botnetech. Velmi znepokojivé je, že již existující botnety si mohou útočníci pronajmout a vést z nich prakticky okamžitě útoky proti libovolnému cíli. Struktura botnetu pro vedení DDoS může být obohacena dalšími vrstvami ovládaných stanic (master/slave) a o tzv. reflektory, které mohou sílu útoku výrazně zesílit. Útočník zde odešle paket se zdrojovou adresou cíle útoku směrem k reflektorům. Reflektor pak odešle jako odpověď data směrem k oběti, viz obrázek 2. Takové útoky bývají označovány jako DRDoS. Jak tedy útok DDoS vypadá? Zjednodušeně lze říci, že DDoS útok má všech pět „p“ tehdy, když: 1. útočník nejprve prozkoumá terén a vyhledá zranitelné stanice; 2. potom na tyto stanice pronikne a instaluje na nich vhodný kód (zombie agent); 3. zajistí, aby na stanicích kód přetrval, například po restartu stanice; 4. přenáší kód na další stanice, rozšiřuje botnet; 5. pak spustí útok s cílem poškodit oběť. Pro zkoumání terénu útočníci většinou využívají již napadené stanice. Tyto stanice mohou prozkoumávat prostředí náhodně, pomocí postupně rozdělovaných seznamů, s využitím informací uložených na napadených stanicích, hledáním na lokální podsíti, pomocí permutačních seznamů i dalšími metodami [1].
Útok Signalizace
Poskytovatel
CPE
Útočník
Oběť Armáda zombies (botnet)
Obrázek 1: Struktura DDoS útoku
Útočník pronikne většinou na cílovou stanici přes známou zranitelnost. Velmi často využívá chyb aplikací a operačních systémů, zejména přetečení zásobníku (buffer overflow). Kód obvykle instaluje tak, aby byl obtížně zjistitelný, aby dlouhodobě přetrval a spustil se i po restartu daného počítače. To velmi často vyžaduje zápis do registrů, napadení systémových knihoven, úpravu inicializačních souborů atd. Přenášet a šířit kód může útočník ze své stanice, ze specializovaného centrálního místa nebo se kód může šířit zcela autonomně z napadených stanic.
sám. Například, pokud se do naší sítě valí data rychlostí několika gigabitů za sekundu, je naše stomegabitová linka do Internetu beznadějně přetížená a obrana na hranici sítě s poskytovatelem je prakticky neúčinná. Musíme tedy s ním spolupracovat a mít po ruce vhodné technologie a postupy, které tyto útoky zjistí, omezí je či zablokují jak na straně poskytovatele, tak na naší straně. A musíme mít na mysli, že se naše stanice a servery mohou stát nejen cílem útoku, ale že je může útočník zapojit do svých botnetů a proměnit v ovládané zdroje.
Způsoby, jak poškodit oběť, jsou velmi pestré. Útočník může zaplavit cílové sítě hrubou silou (např. UDP datagramy nebo ICMP pakety), přetížit webové servery vysokým počtem požadavků, může zacílit na známé zranitelnosti, útočit proti TCP/IP zásobníku serveru nebo aktivního prvku velkým počtem otevíraných TCP spojení, přetěžovat poštovní servery, zaútočit na jmenné servery, na nechráněné protokoly v lokálních sítích (DHCP, ARP), na aktivní prvky a podobně. Příklady útoků jsou uvedeny např. v [1], [2].
Více si řekneme o ochraně před DDoS útoky příště. IVO NĚMEČEK Použitá literatura [1] Ch. Patrikakis, M. Masikos, O. Zouraraki Distributed Denial of Service Attacks, http://www.cisco.com/ web/about/ac123/ac147/archived_issues/ ipj_7-4/dos_attacks.html. [2] Wikipedia Denial of Service Attacks, http://en.wikipedia.org/wiki/ Denial-of-service_attack.
Útoky DDoS jsou nebezpečné zejména proto, že se napadený často nemůže bránit
botnet
Útočník
Oběť
Pán (master)
Obrázek 2: Struktura DRDoS útoku
Sluha (slave)
Reflektory
4/2007 Information Assurance
Nová generace Windows serveru Na konferenci WinHEC v květnu 2007 Bill Gates oficiálně oznámil, že příští generace serverů Windows, pro kterou se dosud používal pracovní název Windows Longhorn Server, se bude jmenovat Windows Server 2008. Protože Windows Server 2008 (dále jen W2008) vychází ze stejného základu jako Windows Vista, většina technických novinek z Visty přechází i na něj. Kromě toho nabízí W2008 samozřejmě i mnoho zcela nových prvků, v tomto článku se ale zaměřím jen na Windows Server Core, Windows PowerShell a Server Manager. Protože W2008 ještě není hotový produkt, jsou zde uvedené informace prozatímní, založené na třetí betaverzi z dubna 2007.
Windows Server Core Jedná se o instalaci pouze jádra operačního systému – proto ono Server Core. To je opravdu zásadní změna, která svět Windows serverů přibližuje světu serverů unixových. Server Core instalace zahrnuje jen nezbytně nutný základ operačního systému plus několik dalších volitelných komponent v závislosti na roli, kterou má server plnit. Prozatím jsou k dispozici následující role: řadič domény, Active Directory Lightweight Directory Services (AD LDS), DHCP server, DNS server, souborový server, tiskový server, Streaming Media Services a webový server IIS7. Kromě rolí lze konfiguraci Server Core upravit ještě instalací několika volitelných vlastností jako je SNMP, WINS, vyrovnávání síťové zátěže, zálohování Windows, šifrování disku Bitlocker apod. Protože se neinstalují žádné zbytečné aplikace, ovladače či služby, dokonce ani Průzkumník (jakožto jinak běžný shell operačního systému) nebo Internet Explorer, poskytuje Server Core instalace podstatně menší prostor k útoku než plná instalace W2008. Vyšší bezpečnost ale není jedinou výhodou. K provozu Server Core stačí i méně výkonný hardware, instalace zabírá méně diskového prostoru, údržba i správa serveru se zjednoduší. Tato minimální instalace se dá primárně spravovat lokálně i vzdáleně přes příkazový řádek (viz obr. 1). Ke vzdálené správě lze využít rovněž vzdálenou pracovní plochu a MMC konzoly nabízející
Obrázek 2: Server Manager – ukázka rozhraní
grafické uživatelské rozhraní. V omezeném rozsahu bude k dispozici i PowerShell, druhá z novinek W2008.
poskytuje přístup k souborovému systému, ale kromě toho zprostředkuje i přístup k dalším úložištím dat, jako je registr, Active Directory nebo sklad digitálních certifikátů.
Windows PowerShell Jak je patrné z názvu, představuje PowerShell nový shell Windows. Je navržen speciálně pro administrátory systému a komunikace s ním se uskutečňuje prostřednictvím příkazového řádku. Je postaven na technologii .NET Framework – využívá její bohaté skriptovací prostředí a pracuje s .NET objekty. Tato zásadní změna přináší do správy a konfigurace Windows zcela nové nástroje a metody. Protože však PowerShell využívá prostředí .NET Framework, které není součástí Windows Server Core instalace, má zde některé možnosti omezeny. PowerShell zavádí nový koncept zvaný cmdlet (vyslovuje se jako command-let, pro nedostatek jiného vhodného označení používám počeštěnou verzi komandlet), což je jednoduchý nástroj plnící nějakou základní funkci. Těchto nástrojů je standardně k dispozici více než sto a jejich kombinováním lze provádět i velmi komplikované akce. Administrátor si může vytvářet i své vlastní komandlety a sdílet je s ostatními uživateli.
PowerShell je standardní součástí W2008, ale lze si ho samostatně stáhnout z Internetu a zprovoznit i ve starších verzích Windows, počínaje Windows XP. Samozřejmě Obrázek 1: Ukázka konfigurace firewallu ve Windows Server Core
Server Manager Server Manager je nástroj zjednodušující konfiguraci a administraci správu serveru. Jde o pokročilou MMC konzolu (viz obr. 2), která představuje základní nástroj administrátora ve všech instalacích W2008 kromě Server Core instalace, jež postrádá grafické uživatelské rozhraní. Z obrázku je patrné, že na rozdíl od předešlých verzí Windows byl značně posílen význam rolí, které může server plnit. Při počáteční instalaci W2008 se instaluje jen minimální sada služeb. Když poté administrátor prostřednictvím nástroje pro počáteční konfiguraci nebo právě pomocí Server Manageru instaluje vybrané role, operační systém přesně ví, jaké další služby je zapotřebí nainstalovat a jaké jsou mezi nimi závislosti. Z toho plyne, že se ve W2008 snížila pravděpodobnost špatné konfigurace, a protože se neinstalují zbytečné služby, zvýšila se i bezpečnost. MILAN JIRSA Zdroje: Microsoft Windows Server 2008 Home, http://www.microsoft.com/windowsserver2008/ default.mspx Informace o Windows Server 2008 v češtině http://www.microsoft.com/cze/windowsserver2008/ Windows Server 2008 Technical Library, http://technet2.microsoft.com/windowsserver2008/ en/library
5
6
Information Assurance 4/2007
Traffic management IV Klasifikace a zajištění kvality provozu (QoS) Již v minulém díle byla zmíněna potřeba klasifikace provozu, jinými slovy nutnost definovat pravidla. Díky klasifikačním kriteriím: zdroj a cíl (MAC, IP adresa, podsíť, rozsah IP adres, jméno počítače), protokol nebo aplikace, čas, VLAN (Virtual Local Area Network), DSCP (Differentiated Services Code Point) a jejich kombinacím lze pružně vyčlenit specifickou část provozu pro monitorování i pro „QoS akci“. Právě pružnost a přehlednost jsou zde velice důležité. Určitě je přehlednější definovat pravidlo pro „Josefa Nováka“ nebo pro „SAP server“ než pro IP adresu 192.168.1.25. Neboli je užitečné mít možnost předefinovat a pojmenovat si jednotlivé objekty tak, aby se s nimi dalo pracovat co nejjednodušeji. Dále se hodí mít možnost jednotlivé objekty sdružovat do skupin, například „účetní oddělení“, „tiskové servery“, „neplatiči“, „nežádoucí aplikace“. Jednoduše pak lze definovat jak hromadná pravidla pro jednotlivé objekty ve skupině, tak naopak jedno pravidlo pro celou skupinu. Až v dalším kroku definujeme QoS, jinými slovy to, co se s daným provozem stane. Logicky se nabízí provoz daným pravidlem povolit či zakázat, ale řešení pomocí traffic managementu musí být mnohem pružnější než řešení firewallem. Musí umožňovat odstupňovaně, tj. například s krokem 1 kb/s, garantovat minimum či omezovat maximum provozu, a to nejen na úrovni pravidel, ale i pro každé jednotlivé spojení (session). Jen tak lze zajistit dodržení potřebných parametrů pro jednotlivé VoIP hovory podle zvoleného kodeku. Rovněž je užitečné mít možnost omezit počet současných spojení i počet nových spojení za sekundu. Lze tak mj. zamezit šíření červů a omezit DoS (Denial of Service) útoky (útoky zahlcením). Neméně důležitá je i podpora priorit – například na jeden paket s nižší prioritou umožnit dva pakety s vyšší prioritou, viz obrázek 1. Dobré QoS řešení musí mít ošetřen i stav, kdy dojde v rámci definovaného pravidla nebo i celé sítě k vyčerpání pásma. Ne vždy je možné spočítat minima tak, aby jejich součet odpovídal dostupnému pásmu – poskytovatelé Internetu spoléhají na rozložení provozu v čase a vždy se snaží disponibilní kapacitu prodat několikrát. V takové situaci se mohou uplatnit právě priority, kdy je provoz s vyšší prioritou preferován na úkor provozu s nižší prioritou. Dosáhneme pak
10 9
Priority
Priorita 2
1,1
3
1,2 1,1
4
1,4 1,2 1,1
1
2
5
1,6 1.5 1,3 1,1
6
2,0 1,8 1,6 1,4 1,2
7
2,5 2,2 2,0 1,7 1,5 1,2
8
3,3 3,0 2,7 2,4 2,0 1,7 1,4
9
5,0 4,5 4,0 3,5 3,0 2,5 2,0 1,5
3
4
5
6
7
8
9 10
10 10,0 9,0 8,0 7,0 6,0 5,0 4,0 3,0 2,0 1
2
3
4
5
6
7
8
9
Priorita
Obrázek 1: Vztah mezi prioritními úrovněmi. Například při přenosu jednoho paketu s prioritou 9 je garantován přenos dvou paketů s prioritou 10
například toho, že VoIP telefony budou fungovat i tehdy, když je sít přetížena stahováním filmů či rozesíláním pošty. Uvědomme si, že optimální využití sítě nám umožňuje pouze dynamická garance QoS. Pokud bychom například fixně garantovali pět VoIP hovorů s kodekem G.711, vedlo by to k neustálé blokaci 500 kb/s. My ale požadujeme, aby bylo pásmo poskytováno jednotlivým hovorům pouze po dobu jejich trvání, a to v rozsahu přesně daném příslušným kodekem. Například stahování filmu pomocí P2P je v rámci dynamického poskytování QoS pozastaveno zvednutím sluchátka a po jeho položení pokračuje nerušeně dále. Obdobně tento dynamický proces probíhá v případě CITRIX tisku, rozesílaní pošty, videokonference atd. Není od věci se i podívat na to, jaký způsob je zvolen pro „shapping“. Klasické mechanismy používané směrovači jsou účinné pouze pro určitý typ provozu a nemají dynamický charakter. Nevhodné je například zahazování paketů (rate limiting), na které jsou citlivé aplikace typu on-line her. Naopak u TCP aplikace je výhodné využít schopnosti protokolu TCP vyžádat a nastavit časový interval mezi jednotlivými bloky dat a tak řídit rychlost jejich toku. Pro ověření zvoleného řešení „sharpingu“ je vhodné použít některou z P2P aplikací, protože ty řadu standardních mechanismů ignorují.
Jak již bylo v tomto seriálu několikrát zdůrazněno, traffic management je netriviální proces (viz obrázek 2) a jakákoliv komplikace v jeho libovolné fázi může negativně ovlivnit celý zbývající přenos. Neboli je velmi důležité, aby uživatel nebyl nezatěžován konfiguračními detaily. A to je základem přístupu k řešení společnosti Allot Communications, o němž budu psát příště. PETR LASEK
Analýza obchodních potřeb
Monitorování provozu
Definice objektů v katalozích
Definice pravidel
Alerty
Reporty
Obrázek 2: Proces definice pravidel
4/2007 Information Assurance
Jak chápat síťový management Spojení a zjednodušení. Pod těmito slovy si většina lidí vybaví cosi omezujícího, vedoucího k zanedbávání detailů. Opak je ale pravdou. Pokud chceme vyvinout jednoduchá a jasná řešení, obvykle se za nimi skrývá pečlivá a mnohdy složitá příprava. Výsledkem je hladce fungující celek, který však paradoxně často budí dojem jednoduchosti. Pokud se při síťovém managementu dokážeme odpoutat od sítě jako takové a vzít v úvahu to, že je součástí většího celku, dostane síťový management nový rozměr. Pochopení celku, do kterého síť zapadá, ji umožňuje vnímat značně jinak. A touto cestou se chce ubírat společnost GiTy.
Síť jako součást služby Na obrázku 1 je je zobrazen pohled na síť jako na něco, co je součástí obecněji chápaného systému. Například zákazník od dodavatele odebírá poštovní službu, v rámci které si dohodou zajistil určitou poskytovanou úroveň (SLA – Service Level Agreement). Služba je poskytována jako celek, ale na dosažení dohodnuté úrovně služby se podílejí různé prvky systému. Špatná funkce kteréhokoliv z nich se může podílet na celkovém finálním neúspěchu. Zákazníkovi je samozřejmě naprosto jedno, co bylo příčinou problému, zda vadný disk, paměť, síťový prvek či kabel.
Síť jako součást většího komplexu V předešlých úvahách jsem chápal síť jako součást nasmlouvané služby. Lze si však dovolit ještě obecnější pohled, a to nahlížet na síť jako na součást větších komplexů – ať
e)
Smlouva o úrovni poskytovaných služeb (SLA)
podnikové finance
d)
AR
GL
rozpočet
sklad majetek nákup
splatné pohledávky management materiálu
správa zdrojů
služba
správa zdrojů
c)
Oracle SAP
People Soft
Lotus
b) a) síť, systémy, aplikace, zabezpečení a další prvky
Obrázek 1: Síť jako součást služby
Obrázek 2: Chápání sítě jako součásti větších komplexů vyžaduje víceúrovňový management
již tvořených službami či infrastrukturou společnosti. Z tohoto pohledu lze síť rozdělit do několika vrstev – viz obrázek 2: a) přenosové technologie (metalické, optické kabely atd.); b) virtuální sítě a okruhy apod.; c) aplikace a služby; d) informační systémy; e) zastřešující management. V případě managementu pojatého komplexním způsobem je popsán každy jeho prvek, každá jeho služba, každá závislost mezi jednotlivými vrstvami. Touto cestou lze zjistit, jaký dopad bude mít nefunkčnost kteréhokoliv dílčího prvku na kvalitu služby, na nesplnění SLA a z toho vyplývající finanční sankce. Při pravidelném sledování a získávání dat je možné trendovými analýzami včas plánovat kapacity a to nejenom z pohledu jednotlivého prvku sítě,
ale s ohledem na systémy, služby, zákazníky apod. Jako další vyhody přináší takto pojatý management určování priorit při sjednávání náprav událostí s ohledem na jejich dopad.
Závěr Implementací popsaného přístupu k síťovému managementu se GiTy snaží posunout vnímání síťového managementu zákazníky na kvalitativně vyšší úroveň. Na obrázku 3 je vidět, jaké výsledky lze ze správně zvolené strategie síťového managementu očekávat a jakým směrem by se měl přístup k síťovému managementu dále vyvíjet. KAREL MATYÁŠ Použitá literatura [1] Curtis D., Scott D. Data Center Poll Results Confirm Improved Process Maturity. Gartner, April 2004.
Hodnota Služby Proaktivní přístup Reaktivní přístup Dezorganizace • ad hoc řešení • bez dokumentace • nepředvídatelné • žádná formální pravidla nebo postupy • uživatelé/zákazníci volají IT a oznamují problémy
• nejlepší možné úsilí • „hašení požárů“ • náhradní nástroje • proces správy iniciace problémů • správa upozornění a událostí
• monitorování výkonu • analýza trendů • nastavení prahových hodnot • předvídání problémů • automatizace • procesy správy „vyzrálých problémů“ majetku a změn
Správa úrovně služeb Provozní model a procesní inženýring
Využití nástrojů
Obrázek 3: Chápání síťového managementu u společnosti GiTy – v souladu s [1]
• definování tříd služeb, cen • porozumění nákladům • nastavení cílů kvality • zaručení služeb – smlouvy o úrovni poskytování služeb • monitorování a hlášení stavu služeb • plánování kapacity
• sesouhlasení IT a obchodu • IT vylepšuje obchodní proces • obchodní plánování na bázi měřitelných hodnot
Zisk
Obchodní management Inženýring procesu poskytování služeb
7
Vaše jistota na trhu IT
BEZPEČNOSTNÍ INTEGRACE ŘÍZENÍ BEZPEČNOSTI INFORMACÍ SPRÁVA IDENTITY A ŘÍZENÍ PŘÍSTUPU UTAJOVANÉ INFORMACE
Naše řešení pro váš úspěch
ICZ a.s. • Hvězdova 1689/2a • 140 00 Praha 4 • Tel.: 244 100 111 • E-mail:
[email protected]
www.i.cz
