CISCO -  LINKSYS tinklo įranga ir kiti produktai 

2008-09-24
Matrix Uab specialistai dalyvavo Cisco ASA ugniasienių, tinklo perimetro apsaugos įrangos seminare, ir gilino žinias apie šios klasės Cisco tinklų apsaugos įrenginius. Seminarą vedė Artemi Lvov, Cisco systems atstovas.

Seniau buvo naudojami labai paplitę Cisco PIX ugniasienės ir VPN koncentratoriai. Paskui Cisco padarė ASA (Applied security appliance) tinklų apsaugos įrenginius, jie pasižymi tuom,kad visi ASA klasės įrenginiai turi vienodas savybes, skiriasi tik jų darbo našumas, todėl juos galima sėkmingai naudoti visame korporatyviniame tinkle- filialuose mažesnio našumo, o centriniuose skyriuose (būstinėse) didelio našumo ASA įrangą.

Kokie yra kodavimo standartai?
Dabar naudojami IPSec ir SSL technologijos.
IPSec yra senesnis standartas, jis gali būti naudojamas remote workers (nutolusių darbuotojų) pajungimui prie pagrindinio tinklo, arba site-to-site apjungimams (tunelis tarp dviejų ASA, arba routerių). Trūkumai: reikia visą laiką naudoti IPSec klientą (iš kito pc be kliento negalima pasijungti),dažnai IPsec portai būna uždaryti (hoteliuose ir pan.), nes viešose prieigos taškuose dažniausiai atidarytas būna tik http 80 portas.

SSL yra naujesnis standartas, jis veikia kaip:
1. clientless (beklientinis) SSL tiesiai iš browserio, sesija eina per naršyklę. O http, https portai visada būna atidaryti.
2. Galimas thin client (plonas klientas), kuris veikia per Java appletą 1-2MB dydžio, jis įsideda į pc ir dirba kaip sesija (paskui tas appletas gali likti kompiuteryje arba būti ištrintas).
3. Sand Box režimas (smėlio dėžės režimas). Java apletas šifruoja kieto disko dalį,ten kur ASA duomenys laikomi, paskui pasibaigus sesijai ištrina ją iš pc, tas aktualu pvz. kai jungiamės iš internetinės kavinės.

CISCO ASA 5505 įrenginys
(pav. Cisco ASA 5505 ugniasienė)
Jis gali būti naudojamas pajungti korporatviniams IP telefonams, notebookams prie firmos tinko. Jis yra taip vadnamas next generation SOHO/ROBO apsaugos įrenginys, be kieto disko (hdd), be fano (ventiliatoriaus), todėl dirba tyliai, naudoja mažai elektros energijos. Palaiko Cisco easy VPN standartą (Cisco savas VPN realizavimas), Site-to-site VPN, galima naudoti Windows VPN klientą. Galimi du provaideriai (tiekėjai),ir dingus ryšiui viename linke, persijugia ant kito linko (hw failover, PPPoE, dynamic DNS ir pan.). Jis gali PPP sesiją terminuoti kaip routeris, jei nedidelis tinklas, ASA gali veikti ir kaip routeris (nereikia papildomo routerio). Jame jau įdėtas VPN akseleratorius, basic license (bazinėje licenzijoje) 3 VLaN palaikymas, extended licence (išplėstinė licenzija) daugiau VLANų.
Paprastai už ASA dedasi IronPort įrenginys (Cisco nusipirko šią firmą), kuris atlieka antiviruso, antispamo funkcijas. Jei tinkle daugiau kaip 50 userių, tada geriau naudoti Cisco ASA 5510 įrenginį. ASA 5505 turi 150Mbits našumą, ir yra savo klasėje vienas greičiausių įrenginių, tačiau skirtas 100Mbits tinklams,jei pas jus gigabitinis tinklas, ASA 5505 jau jo netrauks.

CISCO ASA software v8.0
Jis palaiko EIGRP, 90% komandų galima per web interfeisą (grafinę aplinką) atlikti. TLS proxy palaikomas voice/video paketų tikrinimui (inspection), pvz. signalizacijos ir pan. Galima sukurti objektų grupę, ASDM naujas interfeisas (turi wizardus/vedlius).

CISCO ASA 5505
Turi 8 portus,iš jų 2 POe portai palaiko, 8 portai VLAN, 3 USB, konsolės portas, 150Mbits ugniasienės (firewall) našumas, max IPSec/VPN vartotojų 25, VLAN 3 licenzijos bazinėje licenzijoje.
CISCO ASA 5510
(pav. Cisco ASA 5510)
Palaiko iki 300Mbits ugniasienės našumo (firewall traffic), ir iki 250 IPSec/SLL vartotojų (users).

Cisco ASA leidžia pagal kaiką blokuoti portus (tam tikrą dienos laiką leisti, kitą paros dalį neleisti), blokuoti Instant Messaging paketus. ASA 5505 daugiau skirtas kaip ugniasien4, nes ne trafiko inspekcijai (peržiūrai), jis daugiau skirtas namų/teledarbuotojams (home/teleworkers). ASA 5510 skirtas filialams (branch office), ASA 5520 būstinėms (headquarters).
Tinklą galima padalinti į trusted ir untrusted , SIP trafiką tikrinti (pvz signalizacijoms),ir SIP suteikti arba prioritetą, arba kaip tik žemesnį pralaidumą.

CISCO ASA ir Cisco unified communications manager
Tai softas (programa) ant serverio, ant routerio irgi galima statyti, kuris atieka balso paštą, IP telefoniją, ir tt. Jis dinamiškai atidaro portus ASoje (ASA įrenginiuose), tikrina SIP'us, riboja SIP'us (pvz. jei užtenka tik 5 skambučiams resursų, 6-ą riboja). Palaiko šifruotas telefonines sesijas, ASA ir v8.0 softas tikrina ar tikrai viduje trafiko eina telefoninė sesija.

CISCO ASA 5505 praktinio naudojimo pavyzdžiai
teleworker režime naudojimas, praktinis jo panaudojimo pavyzdys būtų toks, kai naudojami du VLANai:
1- namų VLANas, 2- biznio VLANas (Ipsec).
Namų VLanas atskirtas nuo firmos VLANo,ir žaidimų trafikas, internetas eina ne per korporatyvini tinklą.
Remote Office režimas (darbas nutolusiame ofise), šiuo atveju sukonfigūruojami ir naudojami 4 VLAN'ai:
1 - inside VLAN, vidinis VLANas, pvz. kompiuteriai, printeriai
2 - biznio DMZ VLANas - serveriai, kurie turi būti prieinami iš vidaus, ir iš išorės.
3 - interneto VLANas (aktyvus), site-to-site VPN, pvz. SSL VPN
4 - interneto VLANas (pasyvus), pvz PPPoE, DHCP.

80 porto problema (http portas)
Dažniausiai 80 porto trafikas (srautas) neblokuojamas, ir visi rašo aplikacijas (programas) ant šito porto. ASA leidžia filtruoti 80 porto trafiką.
Šiuo metu eina tokia tendencija, kuri vadinasi expanding network perimeter (tinklo perimetro išsiplėtimas),kai neaišku kur tas tinklas pasibaigia. Todėl ASA sukurtas tad atitiktų šiuos reikalavimus. SSL anksčiau buvo terminuojama serveryje, o dabar Cisco ASA gali terminuoti sesijas, taip pat ASA VPN terminuoja. Dabar dažnai useris/vartotojas į vidinį tinklą papuola per https portą, Cisco web VPN palaiko self depending VPN (save apsisaugantį VPN'ą), t.y.Java apletas šifruoja kietame diske visą sesiją, paskui ištrina tą vietą, ir netgi su keylogeriais negalima paskui įeiti (pvz. kai reikia pasijungti iš interneto kavinės, ar iš informacinio kiosko).

CISCO IOS routeriai ir ASA - kur ką geriau naudoti?
Cisco IOS routeriai terminuoja VPN sesijas ir palaiko firewall, SSL VPN palaiko apie 10-150 userių, SSL VPN vidutinis našumas, Ipsec site-to-site pažengęs (advanced).
Cisco ASA SSL VPN palaiko apie 10-5000 userių, SSL VPN aukštas našumas, Ipsec site-to-site savybės vidutinės (average).
Ką naudoti priklauso nuo jūsų tinklo architektūros. Ar pajungimai eina per centrą, ar reikia ir kad tiesiogiai galėtų filialai susijungti, apeidami centrą. IOS routeriai turi dynamic VPN (DMVPN), ir iš tų IP gauna įvadinę automatinę sesiją ne per centrą. Kai šito reikia, tik tada rekomenduojama naudoti IOS routerius (ASA neturi šitos savybės).
Tačiau ASA turi viename IPsec/SSL, toks jo yra pagrindinis privalumas.

Cisco ASA 5520, turi onboard load balancing, < 750 VPN sesijų;
Сisco ASA 5540 palaiko < 5000 IPsec sesijų;
Jie palaiko:
- NAC network access control (tiksliau tikrina ar pc turi AV updates/naujinimus, ir neleidžia į tinklą jei jų nėra);
- koduotą balso sprendimą (encrypted voice solution) (signalizacija šifruota terminuojama ant ASA);
- palaiko secure desktop for SSL;
- ugniasienės ir VPN našumas tikrai vienas iš geriausių savo klasėje;
- turi packet tracer/paketų sekėjas (tai nedidelė utilita, yra valdymo meniu);

Cisco ASDM v6.0 for ASA ir ASA praktinis konfigūravimas
Tai ASA valdymo programinis web interfeisas (programa), pvz.ją nagrinėjame ant 192.168.1.1 porto. Čia buvo praktiniu būdu nagrinėjamas visas Cisco ASA valdymas, jame dalyvavo ir Uab Matrix specialistai. Viskas padaryta tikrai patogiai, naudojama objektų koncepcija (viskas saugoma objektuose), grafinė aplinka,visur yra gan paprasti wizardai (vedliai), kurie leidžia pakankamai greitai sukonfigūruoti Cisco ASA bet kurį įrenginį.
Taigi leidžiame configuration wizard.
Vedama ASA host name,domain name.
Interfeisas - vidinis VLAN, išorinis VLan,DMZ, pasirekame seurity level kiekvienai zonai nuo 0 - iki -100;
paskirstom portus VLANams;
IP adresai (static,dhcp);
restricted traffic configuration;
DHCP server (galima "enable auto config from interface", tada jis visus duomenis paima iš to interfeiso DHCP serverio);
address translation (PAT/NAT, kiek IP duoda ISP);
admin access - iš kur galima įeiti į ASA;
ir papuolam į summary (10 step iš 10).

Vpn wizardas/vedlys
pasirenkamas kientas (Cisco VPN client arba MS klientas)
preshared key (sertifikatas);
tunelio grupės vardas;
kliento autentifikacijos (Duombazė išorinė arba vidinę galima sukurti, klientų autentifikavimui);
address pool (adresų pasirinkimas, objektų koncepcija);
ką gauna kientas (dns, etc);
split tuneliavimas (skirstom trafiką).

Packet tracer - tikriname kaip praeina konkretus paketas (per ACL, VPN ir tt.). Labai patogi utilita, nuima daug rankinio darbo, padeda iškart nustatyti kurioje vietoje stringa paketas.

SSL VPN wizardas/vedlys
nustatome any connect client pvz. Thin SSL
IP pool (iš kur gauna IP);
iš kur gauna Java klientą (iš kur klientas atsisiunčia reikalingą VPN klientą, pvz.iš flash atminties, arba secure desktop ASA).
Konfigūruojant reikia būtinai uždėti paukščiuką "enable traffic between interfaces", nes priešingu atveju viską teisingai padarius, srautas (trafikas) vis tiek neis tarp skirtingų prievadų (interfeisų).
MTU - tai paketo dydis, max pvz. 1500, interfeiso nustatymai.
OSPF reikia nustatyti;
Multicast router;
Proxy ARP;
device name/password;
system time.

Firewall/ugniasienė
prievadai ir matomos taisykės;
Juniper netscreen yra atskiras SSL ir IPSec įrenginys (neturi vieno įrenginio). Cisco ASA už 1000 eur galima sukonfigūruoti geresnį įrenginį negu Fortinet (?), AsA turi atskirą VPN cpu.

Class Maps - nustato kaip tikrinamas trafikas, pvz. SIP
Yahoo/MSN messaging protokous filtruoja
regular expressions (iš anksto nustatytos taisyklės), jas galima pritaikyti;
time range - nustato kuriuo laiku galioja taisykė;

AAA server (LDAP, Kerberos, etc.), galima pasijungti prie išorinės DB, arba jei nėra jos, sukurti vidinę userių duomenų bazę. Beje LDAP arba ActiveDirectory palaiko gana daug įrengnių, nes patogu paimti visus tuos pačius userius su jau žinomom jų teisėm, negu kiekvieną kartą juos įvedinėti iš naujo, pvz. tinklinės duomenų saugyklos Buffalo Terastation,ir pan. Iš esmės kiekvienas tinklo resursas turėtų turėti tokį palaikymą.
Cisco secure desktop - iš kur imamas klientas;
sertifikatai - galima kurti vietoje, arba pirkti iš kitur mokamus;
DNS - kaip server arba kaip klientas veikia;
advanced - kaip šifruojama informacija IP tunelyje;
ACL manager - (jis yra keliose vietose) čia yra site-to-site VPN.
Device manager - yra ir komandinė eilutės valdymas.
P.S. JAv jei vartotojo neperspėja, kad negalima laužtis į tinklą, jis gali bandyti laužtis. Todėl tam dedami baneriai, juos ASA leidžia įdėti, su perspėjimais kad nesilaužtų į vidinį tinklą. 
ASDM - valdo daug ASA įrenginių, bet ši programa valdo po vieną įrenginį vienu metu, ir rodo kiekvieno IP adresą;
Cisco works valdo bet kokį kiekį Cisco įrenginių;
SNMP įvedame jei reikia logus kažkur numesti;
Hi availability - tik advanced licenzijoje yra ši galimybė;
Logai lanksčiai konfigūruojasi, ką su jais daryti;
DHCP relay arba vidinis serveris (jei relay tik retransliuoja kitą DHCP serverį);
HTTP redirect (iš HTTP į HTTPS, ar kitą portą galima persiųsti).

Kodėl verta pirkti Cisco ASA?
Jo kaina nedidelė, lyginant su žala, padaroma virusų ar įsilaužimų;
ASA žymiai mažiau vartoja elektros energijos, negu kompas ar rack serveris, skaičiuojant per 3 metus. Jei yra didesnis projektas, Matrix.lt komanda visada pasistengs jums paaiškinti kuriuos Cisco produktus pasirinkti.

Cisco kainų politika, demo produktai, garantija
Kai kuriuos produktus pigiau pirkti per distributorius, negu per Cisco direct partnerius, galioja presales apsaugos programa. Tam reikia inicijuoti produktą, ir jį užregistruoti www.cisco.com/go/pdr adresu. Bidinimas galioja 3mėn. po registravimo. Cisco turi ir NFR programą, galima pirkti demo produktus su nuolaida, tik jų negalima 1 metus parduoti po pirkimo, tačiau visus tuos metus galima rodyti klientams.
Cisco standartiškai taiko 3 mėn. garantiją savo įrangai, su kai kuriomis išimtimis (beje, tų išimčių yra gana daug, pvz. Cisco 800 serijos routeriai eina su metų garantija). Jei perkamas Cisco 5505, 5510 reikia pirkti garantijos pratesimą, kuris kainuoja apie 80lt. Garantiją galima registruoti per Smartnet, tada galimi variantai next business day, softo naujinimus gausite, galimas kontaktavimas su techninio palaikymo specialistais.

2008-05-29

2008-02-08  
MATRIX UAB specialistai dalyvavo LINKSYS  seminare, kuriame Arturas Verbickas, CISCO partnerių veiklos koordinatorius ,  pristatė Cisco Unified Communications 500
Duomenu ir balso perdavimas (IP telefonija), 8 portai. ~8000Lt su tel aparatais.  Tai yra vienas sprendimas, paprastas valdymas, galima naudoti video call, veikia su nokia wireless. 

Beje UAB Matrix savo vidaus tinklams stengiasi naudoti tik Cisco produktus, šiuo metu ofise esame pasijungę CISCO Catalyst 3500 series XL, kodas WS-C3524-XL-R komutatorius ir CISCO Firewall PIX 506 ugniasienes, kurių galimybės lyginant pvz. su D-LINK yra tikrai didesnės. Konfigūruoti Cisco PIX firewallus yra sunkiau negu nemokamus Linux pagrindu (Clarkconent, Endian OS) sukurtus, tačiau paleidus juos pamiršti visam laikui (aišku visada reikia turėti backupą fizinių gedimų atveju, kuris Cisco įrenginiuose daromas grynai txt formate, kas patodu kai reikia atsekti kas ka darė). Sugedus Cisco įrenginiui, jis keičiamas į naują, tik paskui reikia atstatyti jo konfigūraciją iš rezervinės kopijos. Cisco komutatoriai pasižymi plačiomis savybėmis: kiekvieno porto fizinė apsauga nuo gedimo (tuo atveju jis atjungiamas), atskiras valdymas, kiekvienas portas yra saugus, ta prasme kad netgi txt formate siunčiamų slaptažodžių neperskaitys įvairūs sniferiai, galima kombinuoti ir daryti VLAN'us iš bet kurių prievadų, valdymas per konsolės portą, galima kaskaduoti kelis komutatorius ir tt. Kaip pasake Cisco atstovybės vadovas Rimvydas Maskaliūnas, yra du sprendimai: pigus ir geras. Iš pradžių būna pigus, paskui jau geras, kuris paprastai yra Cisco. Daugelis tuo įsitikina savo kailiu.

Jei domina konkretus modelis arba konsultacija kreipkitės į UAB MATRIX konsultantą arba mailu sales@matrix.lt.

Elektroninė parduotuvė http://www.mazakaina.lt.

Navigacija: | Apie|Naujienos|Produktai|Kainos|Sprendimai|Patarimai|Registracija|Aptarnavimas|Darbas|Kontaktai|Titulinis psl.|